Windows Registry (سجل النظام)

أهلا بكم في هذه المقالة سوف نتحدث عن Windows Registry (سجل النظام).

عناصر المقالة

  • مقدمة
  • مصطلحات مهمة
  • تحليل Windows Registry

مقدمة

Windows Registry أو ما يسمي ب العربية (سجل النظام)، هو قاعدة بيانات تحتوي على إعدادات البرامج والأجهزة ومعلومات وقيم متعلقة فيها؛ هذه القيم تساعد في تهئية النظام (Windows) و تشغيل هذه البرامج ب الشكل المطلوب، كما تحتوي على معلومات تخص المستخدم وملفاته البرامج والأدوات التي يستخدمها، ومعلومات تخص الأنشطه التي يقوم بها المستخدم في النظام والكثير من المعلومات المهمة ل عملية التحليل الجنائي الرقمي.

مصطلحات مهمة:

قيم السجلات

Registry Value

هي التعليمات والقيم الخاصة بكل برنامج ب النظام، يوجد هناك خمسة أنواع لهذه القيم وهي ك التالي:

  1. String value: يتم حفظ هذه النوع من القيم بشكل قابل للقراءة ويتكون من قيمة واحدة.
  2. String array value تمام مثل String value ولكن ب اختلاف وجود عدة قيم وليس قيمة واحدة.
  3. Expanded string value يختلف هذا النوع عن String array value بوجود متغيرات (variables) بمعنى عند إستدعاء هذه النوع من القيم عند الحاجة اليه بدوره سيقوم بإستدعاء قيم المتغيرات الذي يحتوي عليها.
  4. Binary value هذا النوع من القيم يتم حفظة بالنظام الثنائي (0,1)
  5. DWORD value يتم حفظة ب شكل hexadecimal او decimal ل ملفات 32 bit
  6. QWORD value تمام مثل DWORD value ولكن ل ملفات 64 bit

مفاتيح السجلات

Registry keys

يمكن تشبيهها ب المجلدات ولكنها في الحقيقة ليست كذلك، ال مفاتيح او (keys) تحتوي على مجموعة من القيم وهي Registry Value او مجموعة مفاتيح جزئية (subkeys).

الخلايا

Hive/Registry root keys

مجموعة المفاتيح الجزئية في النظام تكون مرتبه داخل خمسة مجموعات (مفاتيح) رئيسية تسمى خلايا (Hive) أو root keys وهي ك التالي:

  1. HKEY_CLASSES_ROOT
    يحتوي على قيم خاصة ب انواع الملفات و إمتدادها مثل
    .pdf / .exe / .aspx
  2. HKEY_CURRENT_USER يحتوي عل/ي معلومات خاصة ب المستخدم الحالي للنظام والاعدادت الخاصة به مثل اعدادات الخلفية الوان النظام، اعدادات الشبكة .. الخ.
  3. HKEY_LOCAL_MACHINE يحتوي على قيم خاصة ب البرامج و الأجهزة المرتبطة ب النظام.
  4. HKEY_USERS يحتوي على قيم تخص كل المستخدمين للنظام
  5. HKEY_CURRENT_CONFIG قيم خاصة ب الأجهزة المرتبطة ب النظام مثل لوحة المفاتيح و الطابعة.

تحليل Windows Registry

الهدف الأساسي من تحليل سجل النظام (Windows Registry) هو جمع معلومات كافية عن النظام مثل عدد المستخدمين للنظام معلومات تخص كل مستخدم الاسم البرامج المستخدمه الملفات، الأجهزة المضافة للنظام مثل الطابعات الكاميرا أو أجهزة التخزين … الخ، ايضا يمكن جمع معلومات تخص الشبكة مثل (IP Address, Mac address, subnet mask,DHCP, DNC ) وغيرها الكثير من المعلومات التي سيتم التطرق لها في هذا القسم مع التوضيح بالصور.
يوجد الكثير الكثير من المعلومات في هذه السجلات ولكن بما يخص التحليل الجنائي الرقمي هذه هي أكثر المفاتيح التي تهمنا هي:

  • SAM
    (HKEY_LOCAL_MACHINE\SAM)
  • SECURITY
    (HKEY_LOCAL_MACHINE\SECURITY)
  • SOFTWARE
    (HKEY_LOCAL_MACHINE\SOFTWARE)
  • SYSTEM
    (HKEY_LOCAL_MACHINE\SYSTEM)
  • Default
    HKEY_USERS\.DEFAULT

والتي يتم حفظها في

%SystemRoot%\System32\Config\:

  • NTUSER.DAT أيضا يعد من المفاتيح التي تهمنا ويتم حفظة في الملف الخاص لكل مستخدم

لتحليل هذا السجلات سوف أستخدم برنامج Registry Explorer

وحتى تكون عملية التحليل أكثر وضوحا يُفضل أن يكون هناك مجموعة من الأسئلة ونجيب عليها من خلال تحليلنا لهذه السجلات.

الاسئلة:

  1. ماهو أسم جهاز الكمبيوتر؟
  2. ما هي نسخة نظام التشغيل المستخدمة؟
  3. من أخر مستخدم قام بالتسجيل للنظام؟
  4. ماهي أخر برامج التي تم استخدامها؟
  5. متى تمت عملية تحميل وتنصيب النظام؟
  6. معلومات الخاصة ب الشبكة المستخدمة، (IP Address, DHCP, Gateway)
  7. الملفات والمستندات الموجودة بالنظام؟

الحل

قبل ان نبدأ بالإجابة على هذه الأسئلة أود التنوية بأن يمكن الحصول على سجلات النظام لقضايا وأمثلة مختلفة كثيرة من الإنترنت، ومن ثم تحميلها ورفعها في البرنامج المستخدم في التحليل Registry Explorer أو من الممكن أن نقوم ب تحليل هذه السجلات مباشرة ك Live System Analysis. انا هنا قمت بالتحليل النظام الخاص بي مباشرة Live System.

1- ماهو أسم جهاز المستخدم؟ يمكننا إيجاد هذه المعلومة في مفتاح SYSTEM
(HKEY_LOCAL_MACHINE\SYSTEM)

2- ما هي نسخة نظام التشغيل المستخدمة؟
تلاحظون ب الصورة أيضًا معلومات كثيرة ومهمة مثل RegisteredOwner

يمكننا إيجاد هذه المعلومة في مفتاح
SOFTWARE (HKEY_LOCAL_MACHINE\SOFTWARE)

3- من أخر مستخدم قام بالتسجيل للنظام؟
يمكننا إيجاد هذه المعلومة في مفتاح
SOFTWARE

(HKEY_LOCAL_MACHINE\SOFTWARE)

4- ماهي أخر برامج التي تم استخدامها؟
يمكننا إيجاد هذه المعلومة في مفتاح NTUSER.DAT

5- متى تمت عملية تحميل وتنصيب النظام؟
يمكننا إيجاد هذه المعلومة في مفتاح SOFTWARE
(HKEY_LOCAL_MACHINE\SOFTWARE)

نلاحظ هنا وجود الوقت ب صيغة أرقام عادية القيمة 1552992492 يمكننا ان نقوم بتحويل هذه القيمة ل Timestamp بإستخدام أداة DCode أو استخدام أي أداة أو موقع يؤديان الغرض أنا سوف أقوم بإستخدام هذه الموقع هنا

وكما نلاحظ هذه القيمة بعد التحويل

6- معلومات الخاصة ب الشبكة المستخدمة، (IP Address, DHCP, DNS, Gateway)
يمكننا إيجاد هذه المعلومة في مفتاح SYSTEM
(HKEY_LOCAL_MACHINE\SYSTEM)

بعد الوصول tcpip>parameters>interfaces سوف نلاحظ ظهور الinterfaces نقوم بإختيار الinterfaces المراد جمع المعلومات الخاصة به

7- الملفات والمستندات الموجودة بالنظام؟

يمكننا إيجاد هذه المعلومة في مفتاح NTUSER.DAT
Software\Microsoft\Windows\ CurrentVersion\Explorer\RecentDocs

خاتمة

يوجد الكثير الكثير من المعلومات التي يمكن استخراجها والاستفادة منها من سجلات النظام ولكن سوف اتوقف هنا حتى لا يصبح المقال أطول مما ينبغي و لسؤال والاستفسار يمكنكم إيجادي بتويتر على الحساب @s4o_o

جميع الحقوق محفوظة

سارة آل جابر

كُتب في 28/05/2020