#رمضانيات_DFIR
25 رمضان - System Registry Hives 🐝
ال Windows يحفظ معلومات كثيرة في ملفات نسميها ال Registry Hives. تقدر تتخيل ال Registry Hives كقاعدة بيانات ال Windows يستخدمها عشان يحفظ معلومات مثل أعدادات النظام و معلومات المستخدمين
#DFIR #BlueTeam #الامن_السيبراني
25 رمضان - System Registry Hives 🐝
ال Windows يحفظ معلومات كثيرة في ملفات نسميها ال Registry Hives. تقدر تتخيل ال Registry Hives كقاعدة بيانات ال Windows يستخدمها عشان يحفظ معلومات مثل أعدادات النظام و معلومات المستخدمين
#DFIR #BlueTeam #الامن_السيبراني
في هذي الثريد بتكلم عن هذي ال Registry Hives
- SYSTEM
- SOFTWARE
- SAM
هذي بعض ال artifacts الي تقدر تجيبها من هذي ال Registry Hives
- SYSTEM
- SOFTWARE
- SAM
هذي بعض ال artifacts الي تقدر تجيبها من هذي ال Registry Hives
1️⃣ SYSTEM
- ال BAM و هو يعتبر execution artifact
- معلومات ال DHCP
- الخدمات المثبتة على النظام (services)
- معلومات المنطقة الزمنية (Timezone)
- أسم الجهاز (hostname)
- معلومات ال port forwarding بستخدام netsh
- ال BAM و هو يعتبر execution artifact
- معلومات ال DHCP
- الخدمات المثبتة على النظام (services)
- معلومات المنطقة الزمنية (Timezone)
- أسم الجهاز (hostname)
- معلومات ال port forwarding بستخدام netsh
2️⃣ SOFTWARE
- قائمة بالمستخدمين الي على النظام
- قائمة بالبرامج المثبتة على النظام
- بعض ال keys الخاصة بال persistence
- قائمة بالمستخدمين الي على النظام
- قائمة بالبرامج المثبتة على النظام
- بعض ال keys الخاصة بال persistence
3️⃣ SAM
- معلومات المستخدمين مثل أسم المستخدم و ال SID الخاص فيه
- تقدر تستخدم ال SAM مع ال SYSTEM عشان تستخرج ال NTLM hash الخاصة بالمستخدمين
- معلومات المستخدمين مثل أسم المستخدم و ال SID الخاص فيه
- تقدر تستخدم ال SAM مع ال SYSTEM عشان تستخرج ال NTLM hash الخاصة بالمستخدمين
هذي ال Registry Hives موجودة في هذا المجلد C:\Windows\System32\config
ال Windows يسجل معلومات كثييرة في ال Registry Hives, الي ذكرتها جزء بسيط من المعلومات الي تقدر تجيبها من هذي ال artifacts. بالإضافة ل Windows البرامج الثانية ممكن تسجل معلومات في ال Registry Hives, زي إعدادات خاصة بالبرنامج على سبيل المثال
هذي بعض ال parsers الي بتساعدك في تحليل ال Registry Hives
- regsk - github.com
- Registry Explorer - ericzimmerman.github.io
- regripper - github.com
- regsk - github.com
- Registry Explorer - ericzimmerman.github.io
- regripper - github.com
جاري تحميل الاقتراحات...