• تحذير: يجب على كل روّاد الشبكة تشغيل برامج الاختراق داخل الأنظمة الوهمية وهي بهدف التعلم وحماية الأعضاء والتوعية بها

Windows registry - part (2)

H4x0r

./ عضو
.:: اداري سابق ::.

مرحبا في part 2 من Registry :

احنا في المقال السابق عرفنا نبذة عن key و عدة أمور و حكينا انو فيه معلومات قيمة جدااا و بتفيد DF في التحقيق طيب كيف ؟؟؟ في هذا المقال رح نستعرض كيف ممكن يفيد Registry في التحقيق :

اتفقنا في مقال سابق عن DFIR انو لما بدي احقق اول اشي لازم اخذ نسخة من الاثر او دليل يلي بدي احقق فيه تمام يعني اول شغلة بدي اخذ نسخة .
C:\Windows\System32\config
لو رحت على هذا المسار رح تلاقي ملفات حكينا عنها في المقال الاول :
1700513762056.png
هذا في جهازك طيب لو في جهاز بدك تسحب منو هاي الملفات اذا كان عندك نسخة من النظام و بدك تسحب هاي الملفات رح تحتاج tool

في tool كثيرة هدول 2 كمها .
1700513766596.png
هدول tool رح نستخدمهم كثير و رح نيجي لكل وحدة في مقال منفصل بس هسا خلينا نشوف كيف ممكن نسحب الملفات بصورة بسيطة
tool Autopsy
1700513770378.png

tool FTK Imager
1700513774153.png


ممكن تسحبهم من جهازك بهاي الطريقة او اذا كان عندك disk image و اذا حابين نعمل مقال عن disk image ممكن نعمل ان شاء الله الان عرفنا وين مكان هاي الملفات و لو عندي disk image كيف ممكن اسحب هاي الملفات :

تمام سحبنا هاي الملفات و الامور طيبة رح تيجي تحكيلي طيب بدنا نقرأ هاي الملفات مش انتا حكيت فيها معلومات مهمة جداااا ؟
نعم برضو قراء الملفات هاي كونو اشي حساس و فيه معلومات مهمة مش اي حد بقدر بقرأ يعني بدنا tool في tool خاصة في قراءة هاي الملفات اسم tool Registry Explorer:
1700513778949.png
تمام خلونا نشوف المعلومات يلي ممكن نعرفها من خلال Registry :
OS Version
هون ممكن نعرف OS المستخدم و رقم الاصدار Current Build طيب رح تحكيلي بشوف ممكن يفيد ممكن ك بداية اعرف رقم الاصدار ابحث هذا الاصدار شو كان فيه ثغرات و اعرف نقاط ضعف هذا الاصدار هذا الاشي ممكن يسهل علي البحث لانو ممكن المهاجم استغل ثغرة موجود بهذا الاصدار
وين ممكن نلاقي هاي المعلومات عن OS للجهاز :
SOFTWARE\Microsoft\Windows NT\CurrentVersion
1700513784318.png
شوف المسار بدنا نبحث في SOFTWARE
1700513787832.png
الان بس افتحه رح يطلعلي ملفات كثير كل ملف بحتوي على معلومات محددة و ان شاء الله عن طريق المقالات رح احاول اغطي اهم الملفات و الغلومات يلي بقدر احصلها :
خلونا نمشي في المسار يلي حطيناه فوق :
1700513790990.png
الان بتقدر تمشي في المسار و بتقدر تعمل بحث عن اخر فايلل انتا حرر . الان زي ما انتو شايفين هاي المعلومات امامك لازمم تبحث عن كل حقل او معلومة شو بتفيدكك لانو من الصعب اشرحلك كل حقل شو بفيد لانو عالم كبير جرب لوحدك على جهازك و استكشف
Computer Name:
لازم تتاكد من اسم الجهاز يلي بتشتغل عليه عشان تتاكد هل هاي المعلومات للجهاز يلي بدك تحقق فيه فعلاا او لا لانو زي ما حكينا يمكن الشخص يلي رح يجبلك النسخة من البيانات يلي بدك تحقق فيها ممكن يتلاعب فيها عشان نعرف اسم الجهاز نتبع المسار :
SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
1700513794935.png

Time Zone Information:
من أجل الدقة، من المهم تحديد المنطقة الزمنية التي يقع فيها الكمبيوتر. وهذا سيساعدنا على فهم التسلسل الزمني للأحداث كما وقعت.
SYSTEM\CurrentControlSet\Control\TimeZoneInformation
1700513798743.png
شوف الصورة المنطقة الزمنية للجهاز هذا وين ؟؟؟
Network Interfaces and Past Networks:
الان كل شبكة انتا فيها بتعطيك ip و بكون الراوتر هو بوابتك الان هون بتشوف في كل شبكة شو ip تبع الجهاز و شو ip الراوتر …الخ اكيد بتعرفه الفايدة من الامور هاي بتحقيق بحيث لما تشوف ip عامل اتصال تكون عارف في اي شبكة صار الاتصال اذا كان في اكثر من شبكة مسجلة في الجهاز :
1700513802430.png

Autostart Programs (Autoruns):
تتضمن مفاتيح التسجيل التالية معلومات حول البرامج أو الأوامر التي يتم تشغيلها عند قيام المستخدم بتسجيل الدخول.

هاي المعلومات ممكن نجيب في اكثر من مكان :
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\RunOnce
SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
و كل مكان ممكن يختلف النتائج عن المكان الثاني :
1700513806656.png

SAM hive and user information:
تحتوي خلية SAM على معلومات حساب المستخدم ومعلومات تسجيل الدخول ومعلومات المجموعة
ضروري تعرف مين كان في الجهاز اثناء حدوث الهجوم اذا في اكثر من مستخدم في الجهاز
SAM\Domains\Account\Users
1700513810256.png


هاي المعلومات الواردة المعرف النسبي (RID) للمستخدم وعدد مرات تسجيل دخول المستخدم وآخر وقت لتسجيل الدخول، وآخر تسجيل دخول فاشل، وآخر تغيير لكلمة المرور وانتهاء صلاحية كلمة المرور، وسياسة كلمة المرور وتلميح كلمة المرور.
Recent Files:
يحتفظ Windows بقائمة بالملفات المفتوحة مؤخرًا لكل مستخدم و هاي من الامور المهمة يلي لازم تشوفها عشان تعرف شو البرامج يلي كانت شغالة و تعرف هل كان في برنامج ضار يلي شغال و برضو في هذا الملف رح تلاقي مقسم يعني رح تلاقي ملف داخلو اسمو pdf و txt …الخ بفرزلك يلي تم تشغيلو حسب الامتداد
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
1700513814123.png


برضو في شغلة مهمة لما تفتح ملف و تنزله او يتم حفظه في مكان ويندوز بسألك وين بدك تنزله او تخزنه ممكن تلاقي اخر ملفات تم تنزيلها او حفظها على الجهاز يعني مثلا الصورة يلي رح اورجيك ياها كانت لا تحدي CTF و لازم اعرف شو الملف يلي نزله المستخدم و سبب في انو يصير هجوم فا فكرت انو اكيد نزل ملف او اشي و رحت تشوف هذا key و لقيت هذا الملف :
1700513817942.png
رح نحكيلي كيف عرفت انو ملف ضار رح احيكلك ابحث عن الملفات يلي امتداداها .ps1 و شوف شو وظيفتها

مكان هذا key :
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU
و اذا بدك تعرف البرامج يلي شغلها المستخدم على الجهاز و كم مرة شغلها
NTUSER.DAT\Software\Microsoft\Windows\Currentversion\Explorer\UserAssist
في هذا key بس حط في بالك البرامج يلي بتتشغل عن طريق سطر الاوامر ما بشوفها .

و هون رح نوقف هذا المقال ان شاء الله المقالات القادمة رح نستكمل الشرح في هذا الموضوع

إن أحسنت فمن الله و إن اسأت فمن نفسي و الشيطان
 
التعديل الأخير بواسطة المشرف:
الله يعطيك الف عافيه ياوحش 🤍
 
مرحبا في part 2 من Registry :

احنا في المقال السابق عرفنا نبذة عن key و الهمية و هذه الامور و حكينا انو فيه معلومات قيمة جدااا و بتفيد DF في التحقيق طيب كيف ؟؟؟ في هذا المقال رح نستعرض كيف ممكن يفيد Registry في التحقيق :

اتفقنا في مقال سابق عن DFIR انو لما بدي احقق اول اشي لازم اوخد نسخة من الاثر او دليل يلي بدي احقق فيه تمام يعني اول شغلة بدي اوخد نسخة .

لو رحت على هذا المسار رح تلاقي ملفات حكينا عنها في المقال الاول :
هذا في جهازك طيبب لو في جهاز بدك تسحب منو هاي الملفات اذا كان عندك نسخة من النظام و بدك تسحب هاي الملفات رح تحتاج tool

في tool كثيرة هدول 2 كمها .
هدول tool رح نستخدمهم كثير و رح نيجي لكل وحدة في مقال منفصل بس هسا خلينا نشوف كيف ممكن نسحب الملفات بصورة بسيطة
tool Autopsy
مشاهدة المرفق 2181
tool FTK Imager
مشاهدة المرفق 2182

ممكن تسحبهم من جهازك بهاي الطريقة او اذا كان عندك disk image و اذا حابين نعمل مقال عن disk image ممكن نعمل ان شاء الله الان عرفنا وين مكان هاي الملفات و لو عندي disk image كيف ممكن اسحب هاي الملفات :

تمام سحبنا هاي الملفات و الامور طيبة رح تيجي تحكيلي طيب بدنا نقراء هاي الملفات مش انتا حكيت فيها معلومات مهمة جداااا ؟
نعم برضو قراء الملفات هاي كونو اشي حساس و فيه معلومات مهمة مش اي حد بقدر يقراء يعني بدنا tool في tool خاصة في قراءة هاي الملفات اسم tool Registry Explorer:
تمام خلونا نشوف المعلومات يلي ممكن نعرفها من خلال Registry :
OS Version
هون ممكن نعرف OS المستخدم و رقم الاصدار Current Build طيب رح تحكيلي بشوف ممكن يفيد ممكن ك بداية اعرف رقم الاصدار ابحث هذا الاصدار شو كان فيه ثغرات و اعرف نقاط ضعف هذا الاصدار هذا الاشي ممكن يسهل علي البحث لانو ممكن المهامجم استغل ثغرة موجود بهذا الاصدار
وين ممكن نلاقي هاي المعلومات عن OS للجهاز :

شوف المسار بدنا نبحث في SOFTWARE
الان بس افتحو رح يطلعلي ملفات كثير كل ملف بحتوي على معلومات محددة و ان شاء الله عن طريق المقالات رح احاول اغطي اهم الملفات و الغلومات يلي بقدر احصلها :
خلونا نمشي في المسار يلي حطيناه فوق :
الان بتقدر تمشي في المسار و بتقدر تعمل بحث عن اخر فايلل انتا حرر . الان زي ما انتو شايفين هاي المعلومات امامك لازمم تبحث عن كل حقل او معلومة شو بتفيدكك لانو من الصعب اشرحلك كل حقل شو بفيد لانو عالم كبير جرب لوحدك على جهازك و استكشف
Computer Name:
لازم تتاكد من اسم الجهاز يلي بتشتغل عليه عشان تتاكد هل هاي المعلومات للجهاز يلي بدك تحقق فيه فعلاا او لا لانو زي ما حكينا يمكن الشخص يلي رح يجبلك النسخة من البيانات يلي بدك تحقق فيها ممكن يتلاعب فيها عشان نعرف اسم الجهاز نتبع المسار :

مشاهدة المرفق 2254
Time Zone Information:
من أجل الدقة، من المهم تحديد المنطقة الزمنية التي يقع فيها الكمبيوتر. وهذا سيساعدنا على فهم التسلسل الزمني للأحداث كما وقعت.

شوف الصورة المنطقة الزمنية للجهاز هذا وين ؟؟؟
Network Interfaces and Past Networks:
الان كل شبكة انتا فيها بتعطيك ip و بكون الراوتر هو بوابتك الان هون بتشوف في كل شبكة شو ip تبع الجهاز و شو ip الراوتر …الخ اكيد بتعرفو الفايدة من الامور هاي بتحقيق بحيث لما تشوف ip عامل اتصال تكون عارف في اي شبكة صار الاتصال اذا كان في اكثر من شبكة مسجلة في الجهاز :
مشاهدة المرفق 2256
Autostart Programs (Autoruns):
تتضمن مفاتيح التسجيل التالية معلومات حول البرامج أو الأوامر التي يتم تشغيلها عند قيام المستخدم بتسجيل الدخول.

هاي المعلومات ممكن نجيب في اكثر من مكان :

و كل مكان ممكن يختلف النتائج عن المكان الثاني :
مشاهدة المرفق 2257
SAM hive and user information:
تحتوي خلية SAM على معلومات حساب المستخدم ومعلومات تسجيل الدخول ومعلومات المجموعة
ضروري تعرف مين كان في الجهاز اثناء حدوث الهجوم اذا في اكثر من مستخدم في الجهاز

مشاهدة المرفق 2258

هاي المعلومات الواردة المعرف النسبي (RID) للمستخدم وعدد مرات تسجيل دخول المستخدم وآخر وقت لتسجيل الدخول، وآخر تسجيل دخول فاشل، وآخر تغيير لكلمة المرور وانتهاء صلاحية كلمة المرور، وسياسة كلمة المرور وتلميح كلمة المرور.
Recent Files:
يحتفظ Windows بقائمة بالملفات المفتوحة مؤخرًا لكل مستخدم و هاي من الامور المهمة يلي لازم تشوفها عشان تعرف شو البرامج يلي كانت شغالة و تعرف هل كان في برنامج ضار يلي شغال و برضو في هذا الملف رح تلاقي مقسم يعني رح تلاقي ملف داخلو اسمو pdf و txt …الخ بفرزلك يلي تم تشغيلو حسب الامتداد

مشاهدة المرفق 2259

برضو في شغلة مهمة لما تفتح ملف و تنزلو او يتم حفظه في مكان ويندوز بسئلك وين بدك تنزلو او تخزنو ممكن تلاقي اخر ملفات تم تنزيلها او حفظها على الجهاز يعني مثلا الصورة يلي رح اورجيك ياها كانت لا تحدي CTF و لازم اعرف شو الملف يلي نزلو المستخدم و سبب في انو يصير هجوم فا فكرت انو اكيد نزل ملف او اشي و رحت تشوف هذا key و لقيت هذا الملف :
رح نحكيلي كيف عرفت انو ملف ضار رح احيكلك ابحث عن الملفات يلي امتداداها .ps1 و شوف شو وظيفتها

مكان هذا key :

و اذا بدك تعرف البرامج يلي شغلها المستخدم على الجهاز و كم مرة شغلها

في هذا key بس حط في بالك البرامج يلي بتتشغل عن طريق سطر الاوامر ما بشوفها .

و هون منوقف هذا المقال ان شاء الله المقالات القادمة منكمل في هذا الموضوع

إن أحسنت فمن الله و إن اسأت فمن نفسي و الشيطان
ليش ماتعمل فيديوهات عليى المقالات؟
 
ليش ماتعمل فيديوهات عليى المقالات؟
لانه تم نقل كل البيانات من منتدى شل القديم الي هذا المنتدى
ان شاء الله في اقرب وقت هيتم تعديل كل شيء ... واهلاً بيك في المنتدى 🤗🤗🤗🤗
 
شكراً الك علي شرحك المميز والمتعوب عليه , خليتني انتبه علي امور في الريسجتري مو كنت معطيها اهتمام
 
التعديل الأخير:
عودة
أعلى