- إنضم26 يونيو 2023
- المشاركات 85
- الحلول 1
- مستوى التفاعل 231
- النقاط 33
مرحبا في part 2 من Registry :
احنا في المقال السابق عرفنا نبذة عن key و عدة أمور و حكينا انو فيه معلومات قيمة جدااا و بتفيد DF في التحقيق طيب كيف ؟؟؟ في هذا المقال رح نستعرض كيف ممكن يفيد Registry في التحقيق :
اتفقنا في مقال سابق عن DFIR انو لما بدي احقق اول اشي لازم اخذ نسخة من الاثر او دليل يلي بدي احقق فيه تمام يعني اول شغلة بدي اخذ نسخة .
هذا في جهازك طيب لو في جهاز بدك تسحب منو هاي الملفات اذا كان عندك نسخة من النظام و بدك تسحب هاي الملفات رح تحتاج tool
في tool كثيرة هدول 2 كمها .
هدول tool رح نستخدمهم كثير و رح نيجي لكل وحدة في مقال منفصل بس هسا خلينا نشوف كيف ممكن نسحب الملفات بصورة بسيطة
ممكن تسحبهم من جهازك بهاي الطريقة او اذا كان عندك disk image و اذا حابين نعمل مقال عن disk image ممكن نعمل ان شاء الله الان عرفنا وين مكان هاي الملفات و لو عندي disk image كيف ممكن اسحب هاي الملفات :
تمام سحبنا هاي الملفات و الامور طيبة رح تيجي تحكيلي طيب بدنا نقرأ هاي الملفات مش انتا حكيت فيها معلومات مهمة جداااا ؟
نعم برضو قراء الملفات هاي كونو اشي حساس و فيه معلومات مهمة مش اي حد بقدر بقرأ يعني بدنا tool في tool خاصة في قراءة هاي الملفات اسم tool Registry Explorer:
تمام خلونا نشوف المعلومات يلي ممكن نعرفها من خلال Registry :
وين ممكن نلاقي هاي المعلومات عن OS للجهاز :
شوف المسار بدنا نبحث في SOFTWARE
الان بس افتحه رح يطلعلي ملفات كثير كل ملف بحتوي على معلومات محددة و ان شاء الله عن طريق المقالات رح احاول اغطي اهم الملفات و الغلومات يلي بقدر احصلها :
خلونا نمشي في المسار يلي حطيناه فوق :
الان بتقدر تمشي في المسار و بتقدر تعمل بحث عن اخر فايلل انتا حرر . الان زي ما انتو شايفين هاي المعلومات امامك لازمم تبحث عن كل حقل او معلومة شو بتفيدكك لانو من الصعب اشرحلك كل حقل شو بفيد لانو عالم كبير جرب لوحدك على جهازك و استكشف
شوف الصورة المنطقة الزمنية للجهاز هذا وين ؟؟؟
Autostart Programs (Autoruns):تتضمن مفاتيح التسجيل التالية معلومات حول البرامج أو الأوامر التي يتم تشغيلها عند قيام المستخدم بتسجيل الدخول.
هاي المعلومات ممكن نجيب في اكثر من مكان :
SAM hive and user information:تحتوي خلية SAM على معلومات حساب المستخدم ومعلومات تسجيل الدخول ومعلومات المجموعة
ضروري تعرف مين كان في الجهاز اثناء حدوث الهجوم اذا في اكثر من مستخدم في الجهاز
هاي المعلومات الواردة المعرف النسبي (RID) للمستخدم وعدد مرات تسجيل دخول المستخدم وآخر وقت لتسجيل الدخول، وآخر تسجيل دخول فاشل، وآخر تغيير لكلمة المرور وانتهاء صلاحية كلمة المرور، وسياسة كلمة المرور وتلميح كلمة المرور.
برضو في شغلة مهمة لما تفتح ملف و تنزله او يتم حفظه في مكان ويندوز بسألك وين بدك تنزله او تخزنه ممكن تلاقي اخر ملفات تم تنزيلها او حفظها على الجهاز يعني مثلا الصورة يلي رح اورجيك ياها كانت لا تحدي CTF و لازم اعرف شو الملف يلي نزله المستخدم و سبب في انو يصير هجوم فا فكرت انو اكيد نزل ملف او اشي و رحت تشوف هذا key و لقيت هذا الملف :
رح نحكيلي كيف عرفت انو ملف ضار رح احيكلك ابحث عن الملفات يلي امتداداها .ps1 و شوف شو وظيفتها
مكان هذا key :
و هون رح نوقف هذا المقال ان شاء الله المقالات القادمة رح نستكمل الشرح في هذا الموضوع
إن أحسنت فمن الله و إن اسأت فمن نفسي و الشيطان
احنا في المقال السابق عرفنا نبذة عن key و عدة أمور و حكينا انو فيه معلومات قيمة جدااا و بتفيد DF في التحقيق طيب كيف ؟؟؟ في هذا المقال رح نستعرض كيف ممكن يفيد Registry في التحقيق :
اتفقنا في مقال سابق عن DFIR انو لما بدي احقق اول اشي لازم اخذ نسخة من الاثر او دليل يلي بدي احقق فيه تمام يعني اول شغلة بدي اخذ نسخة .
لو رحت على هذا المسار رح تلاقي ملفات حكينا عنها في المقال الاول :C:\Windows\System32\config
في tool كثيرة هدول 2 كمها .
tool Autopsy
tool FTK Imager
ممكن تسحبهم من جهازك بهاي الطريقة او اذا كان عندك disk image و اذا حابين نعمل مقال عن disk image ممكن نعمل ان شاء الله الان عرفنا وين مكان هاي الملفات و لو عندي disk image كيف ممكن اسحب هاي الملفات :
تمام سحبنا هاي الملفات و الامور طيبة رح تيجي تحكيلي طيب بدنا نقرأ هاي الملفات مش انتا حكيت فيها معلومات مهمة جداااا ؟
نعم برضو قراء الملفات هاي كونو اشي حساس و فيه معلومات مهمة مش اي حد بقدر بقرأ يعني بدنا tool في tool خاصة في قراءة هاي الملفات اسم tool Registry Explorer:
OS Version
هون ممكن نعرف OS المستخدم و رقم الاصدار Current Build طيب رح تحكيلي بشوف ممكن يفيد ممكن ك بداية اعرف رقم الاصدار ابحث هذا الاصدار شو كان فيه ثغرات و اعرف نقاط ضعف هذا الاصدار هذا الاشي ممكن يسهل علي البحث لانو ممكن المهاجم استغل ثغرة موجود بهذا الاصداروين ممكن نلاقي هاي المعلومات عن OS للجهاز :
SOFTWARE\Microsoft\Windows NT\CurrentVersion
خلونا نمشي في المسار يلي حطيناه فوق :
Computer Name:
لازم تتاكد من اسم الجهاز يلي بتشتغل عليه عشان تتاكد هل هاي المعلومات للجهاز يلي بدك تحقق فيه فعلاا او لا لانو زي ما حكينا يمكن الشخص يلي رح يجبلك النسخة من البيانات يلي بدك تحقق فيها ممكن يتلاعب فيها عشان نعرف اسم الجهاز نتبع المسار :SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
Time Zone Information:
من أجل الدقة، من المهم تحديد المنطقة الزمنية التي يقع فيها الكمبيوتر. وهذا سيساعدنا على فهم التسلسل الزمني للأحداث كما وقعت.SYSTEM\CurrentControlSet\Control\TimeZoneInformation
Network Interfaces and Past Networks:
الان كل شبكة انتا فيها بتعطيك ip و بكون الراوتر هو بوابتك الان هون بتشوف في كل شبكة شو ip تبع الجهاز و شو ip الراوتر …الخ اكيد بتعرفه الفايدة من الامور هاي بتحقيق بحيث لما تشوف ip عامل اتصال تكون عارف في اي شبكة صار الاتصال اذا كان في اكثر من شبكة مسجلة في الجهاز :Autostart Programs (Autoruns):
هاي المعلومات ممكن نجيب في اكثر من مكان :
و كل مكان ممكن يختلف النتائج عن المكان الثاني :NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\RunOnce
SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SAM hive and user information:
ضروري تعرف مين كان في الجهاز اثناء حدوث الهجوم اذا في اكثر من مستخدم في الجهاز
SAM\Domains\Account\Users
هاي المعلومات الواردة المعرف النسبي (RID) للمستخدم وعدد مرات تسجيل دخول المستخدم وآخر وقت لتسجيل الدخول، وآخر تسجيل دخول فاشل، وآخر تغيير لكلمة المرور وانتهاء صلاحية كلمة المرور، وسياسة كلمة المرور وتلميح كلمة المرور.
Recent Files:
يحتفظ Windows بقائمة بالملفات المفتوحة مؤخرًا لكل مستخدم و هاي من الامور المهمة يلي لازم تشوفها عشان تعرف شو البرامج يلي كانت شغالة و تعرف هل كان في برنامج ضار يلي شغال و برضو في هذا الملف رح تلاقي مقسم يعني رح تلاقي ملف داخلو اسمو pdf و txt …الخ بفرزلك يلي تم تشغيلو حسب الامتدادNTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
برضو في شغلة مهمة لما تفتح ملف و تنزله او يتم حفظه في مكان ويندوز بسألك وين بدك تنزله او تخزنه ممكن تلاقي اخر ملفات تم تنزيلها او حفظها على الجهاز يعني مثلا الصورة يلي رح اورجيك ياها كانت لا تحدي CTF و لازم اعرف شو الملف يلي نزله المستخدم و سبب في انو يصير هجوم فا فكرت انو اكيد نزل ملف او اشي و رحت تشوف هذا key و لقيت هذا الملف :
مكان هذا key :
و اذا بدك تعرف البرامج يلي شغلها المستخدم على الجهاز و كم مرة شغلهاNTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU
في هذا key بس حط في بالك البرامج يلي بتتشغل عن طريق سطر الاوامر ما بشوفها .NTUSER.DAT\Software\Microsoft\Windows\Currentversion\Explorer\UserAssist
و هون رح نوقف هذا المقال ان شاء الله المقالات القادمة رح نستكمل الشرح في هذا الموضوع
إن أحسنت فمن الله و إن اسأت فمن نفسي و الشيطان
التعديل الأخير بواسطة المشرف: