رتبها

#رمضانيات_DFIR
26 رمضان - Users Registry Hives 🐝
في ال Windows كل مستخدم عنده مجموعة من ال Registry Hive تحتوي على معلومات المستخدم و الأعدادات الخاصة فيه
#DFIR #BlueTeam #الامن_السيبراني

ال NTUSER.DAT موجود في هذا المجلد, C:\Users\<USERNAME>\NTUSER.DAT*
ال UsrClass.dat موجود في هذا المجلد, C:\Users\<Username>\AppData\Local\Microsoft\Windows\UsrClass.dat*

$ال NTUSER.DAT موجود في هذا المجلد, C:\Users\<USERNAME>\NTUSER.DAT* ال UsrClass.dat موجود في ه...$

تأكد أنك تجمع الملفات الي تنتهي ب LOG1 و LOG2, هذي الملفات نسميها ال transaction logs. وهي تحتوي على بعض المعلومات الي باقي ما إنكتبت على الملف الأساسي. هذي بعض المعلومات الي تقدر تجيبها من هذي ال artifacts

1️⃣ NTUSER.DAT
- ال OpenSaveMRU, وهو يحتوي على معلومات عن اخر البرامج الي استخدمت ال File Dialog
- ال TerminalServerClient, يحتوي على اخر كم IP أستخدم في ال RDP Client. مفيد في تحديد ال Lateral Movements
- بعض ال keys الي تستخدم من قبل المخترقين لل persistence

2️⃣ UsrClass.dat
أهم معلومة في هذا ال Registry Hive هو ال ShellBags. هذا ال artifacts يحتوي على المجلدات الي أطلع عليها المستخدم. هذا ال artifact يساعدك كثير اذا المخترق أستخدم ال RDP في عملية ال lateral movement بحيث أنك تقدر تجيب الملفات الي ممكن المخترق أطلع عليها

تقدر تشوف أغلب المعلومات المهمة في هذي ال Registry Hives بستخدام Registry Explorer من صفحة ال Available bookmarks

هذي بعض الأدوات الي تساعدك في تحليل هذي ال Registry Hives
- regsk - github.com
- Registry Explorer - ericzimmerman.github.io
- regripper - github.com
- ShellBags Explorer - ericzimmerman.github.io

ericzimmerman.github.io

github.com

التصنيفات

المزيد من هذا الكاتب

مواضيع ذات صلة

الأكثر اعجابا

التصنيفات

المزيد من هذا الكاتب

مواضيع ذات صلة

الأكثر اعجابا

نسخ سلسلة