مرکز امنیت و‌ رخدادهای‌ سایبری | APK

تجزیه‌وتحلیل رجیستری ویندوز برای جلوگیری از نفوذ هکرها

امن سازی Windows Registry رجیستری ویندوز

هدف این مطلب دستیابی به درکی کلی از Windows Registry و حجم بالای اطلاعاتی است که رجیستری در خود جای داده است. امروزه برای اکثر مدیران و تحلیل‌گران جرم‌شناسی، رجیستری شبیه به ورودی غاری تاریک است. در کنارِ اطلاعت پیکربندی، Windows Registry اطلاعاتی درخصوص فایل‌هایی که اخیراً باز شده‌اند و اطلاعات قابل‌توجهی درخصوص فعالیت‌های کاربری در خود جای داده است. واقعیت امر این است که رجیستری، معدنی از اطلاعات برای مدیران و تحلیل‌گران جرم‌شناسی می‌باشد.

رجیستری چیست؟

اگر به روزهای DOS و اولین نسخه‌های ویندوز (3.1، 3.11 و باقی نسخه‌ها) نگاهی بیندازیم، اطلاعات پیکربندی (درایورها، تنظیمات) سیستم اکثراً توسط چندین فایل مدیریت می‌شدند، خصوصاً فایل‌های autoexec.bat، config.sys، win.ini (برروی ویندوز) و system.ini. تنظیمات مختلفی در درون این فایل‌ها مشخص می‌کردند که کدام برنامه‌ها بارگذاری شده، سیستم چه ظاهری داشته و چطور به ورودی‌های کاربری پاسخ داده است؛ در نسخه‌های بعدی ویندوز این فایل‌ها با رجیستری جایگزین شدند، یک دیتابیس سلسله‌مراتبی متمرکز که تنظیمات پیکربندی برنامه‌های کاربردی، دستگاه‌های سخت‌افزاری و کاربران را در خود جای داده است.

ساختار Windows Registry

هنگامی‌که مدیر یا متخصص جرم‌شناسی فایل Rededit.exe را باز می‌کند، ساختاری درخت‌مانند با پنج فولدر اصلی یا Hive روبه‌رو می‌شود.

  • HKEY_CLASSES_ROOT Hive محتوی اطلاعات پیکربندی مربوط به این می‌باشد که از کدام برنامه‌ی کاربردی برای بازکردن فایل‌های متفاوت سیستم استفاده می‌شود.
  • HKEY_CURRENT_USER Hive پروفایل کاربری فعال و بارگزاری‌شده‌ی کاربری است که درحال‌حاضر در ویندوز Login شده است.
  • HKEY_LOCAL_MACHINE Hive محتوی اطلاعات گسترده‌ی پیکربندی سیستم از جمله تنظیمات سخت‌افزاری و نرم‌افزاری می‌باشد.
  • HKEY_USERS Hive محتوی تمام پروفایل‌های کاربری فعال بارگذاری‌شده برروی سیستم موردنظر می‌باشد.
  • HKEY_CURRENT_CONFIG Hive محتوی پروفایل سخت‌افزاری‌ می‌باشد که سیستم حین Startup از آن استفاده می‌کند.

فهرست‌های MRU

فهرست MRU یا همان فهرست Most Recently Used محتوی مقادیر ورودی می‌باشد که به‌دلیل فعالیت‌های خاصِ اتخاذ شده توسط کاربر ثبت شده‌اند. فهرست‌های MRU بیشماری در میان کلیدهای رجیستری قرار دارد. رجیستری درصورتی که کاربر بخواهد در آینده به آن‌ها رجوع کند، فهرست این آیتم‌ها را نگه می‌دارد. کارکرد آن شبیه به History و کوکی‌ها در یک مرورگر وب می‌باشد.

این Key در مسیر ذیل واقع شده است:

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\Explorer\RunMRU

با اطلاعات ارائه‌شده توسط کلید RunMRU، یک تحلیل‌گر می‌تواند به درک بهتری از کاربرِ تحت بررسی و برنامه‌ی کاربردی تحتِ استفاده، دست پیدا کند. در شکل بالا، می‌توان دید که کاربر از cmd، Notepad، MSPaint و غیره استفاده کرده است.

دستگاه‌های USB

هر زمان که دستگاهی به Universal Serial Bus یا به اختصار USB متصل می‌گردد، درایورها Query شده و اطلاعات دستگاه در رجیستری (Thumb Driveها) ذخیره می‌شود. این کلید محتوای محصول و مقادیر Device ID هر دستگاه USB که به سیستم وصل شده باشد را ذخیره می‌نماید.

برای مشاهده‌ی این کلید، متخصصان جرم‌شناسی باید به مسیر ذیل رجوع کنند:

HKEY_LOCAL_MACHINE\SYSTEM\controlset001\Enum\USBSTORE

مرورگر اینترنت اکسپلورر

Internet Explorer یک مرورگر پیش‌فرض در سیستم عامل ویندوز می‌باشد. همانند بسیاری از برنامه‌های کاربردی دیگر، Internet Explorer نیز برای ذخیره‌سازی داده‌ها استفاده‌ی گسترده‌ای از رجیستری می‌کند.

Internet Explorer داده‌های خود را در مسیر ذیل ذخیره می‌نماید:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs

تجزیه‌وتحلیل رجیستری ویندوز برای جلوگیری از نفوذ هکرها

سخت‌افزارهای متصلشده

این کلید در مسیر HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices واقع می‌باشد. اطلاعات این کلید می‌تواند از این رو برای متخصص جرم‌شناسی سودمند باشد که هرگونه دستگاه Storageی را که به سیستم متصل شده و توسط سیستم عامل شناسایی شده باشد، نمایش می‌دهد. اگر جرم‌شناس هرگونه مغایرتی میان دستگاه‌های فیزیکی متصل‌شده و دستگاه‌های گزارش‌شده در این کلید پیدا کند، می‌توان اینطور برداشت کرد که دستگاهی پیش از ثبت شدن در سیستم، جدا شده است.

نرم‌افزارهای مخرب

این کلید در مسیر HKEY_CURRENT_USER\Software واقع شده و می‌تواند برای متخصص جرم‌شناسی اطلاعات مفیدی داشته باشد؛ چرا که می‌توان متوجه شد که هکر از CyberGhost VPN برای ناشناس‌ماندن استفاده کرده است یا خیر.

برنامه‌های کاربردی اخیراً استفاده‌شده

این کلید در مسیر زیر واقع شده و محتوی فهرست دستگاه‌هایی است که اخیراً توسط کاربران مورد دسترسی قرار گرفته‌اند. در تصویر ذیل، کاربر لیست گسترده‌ای از برنامه‌های کاربردی دارد، که یکی از آن‌ها VMware WorkStation می‌باشد.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Currentversion\Search\RecentApps

با اعمال یک بررسی کارآمد و مؤثر برروی این کلید، می‌توان به اطلاعات مهمی دست پیدا کرد. از این طریق می‌توان از فعالیت‌های مخرب کنونی برروی سیستم خود مطلع شد.

اشتراک امنیت

دسته ها