چطور سابقه اجرای برنامه‌ها را در رجیستری ببینیم؟

رجیستری یک پایگاه داده خیلی بزرگ در سیستم عامل ویندوزه که وظیفه حفظ پیکربندی‌های ویندوز و برنامه‌ها رو بر عهده داره. شما میتونید در رجیستری، تنظیمات خیلی از نرم‌افزارها که به صورت عادی قابل تغییر نیستند رو ویرایش کنید.

گاهی وقت‌ها در بررسی کیس‌های فارنزیک، لازمه بدونیم که کاربر/مهاجم چه برنامه‌هایی رو اخیرا روی سیستم قربانی اجرا کرده. این موضوع در رسیدگی به یک حمله سایبری خصوصا حملات بدافزاری خیلی بدرد میخوره. خب جالبه بدونید که در رجیستری ویندوز،‌ مجموعه کلیدهایی به نام UserAssist وجود داره که تاریخچه اجرای برنامه‌هایی که کاربر از طریق Windows Explorer اجرا کرده رو داخل خودش نگهداری می‌کنه.

نکته: برنامه‌هایی که از طریق خط فرمان (cmd.exe) اجرا شدن اینجا ثبت نمیشه.

اما آدرس این کلیدها:

HKEY_USERS\{SID}\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count\

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count\

در آدرس بالا GUID یک عدد ثابته و در ویندوز ۷ به بعد مقدار اون به این صورته:

CEBFF5CD-ACE2-4F4F-9178-9926F41749EA

F4E57C4B-2036-45F0-A9AB-443BCFE33D9F

داخل هر GUID کلیدی به نام Count وجود داره که اطلاعات مورد بحث ما داخلش نگهداری میشه. زمانی که به این آدرس‌ها در رجیستری مراجعه کنید می‌بینید که تمام مقادیر ثبت شده به صورت انکود شده هستن و قابل خوندن نیستن. مایکروسافت در واقع با این کار یک لایه Obfuscation (مبهم سازی) رو بر روی مقدار این کلیدها اعمال کرده.

اما خبر خوب اینکه برای اینکار از الگوریتم ROT13 که یک روش ساده برای رمزگذاری حروف الفباست استفاده شده. در این روش، هر حرف، با سیزدهمین حرف بعد از خودش در حروف الفبا جایگزین میشه. (مثلا حرف A برابر با M و حرف B برابر با N میشه و الی آخر)

خب ابزارهای زیادی برای دیکود کردن این الگوریتم وجود داره که اگر گوگل کنید پیدا می‌کنید. حتی با صرف کمی وقت خودتون هم می تونید اینکار رو انجام بدید. (راستش خودمم نفهمیدم چرا مایکروسافت از این الگوریتم ساده استفاده کرده! ?)

به تصویر زیر دقت کنید. من این رشته رو دیکود کردم و خروجی به من میگه که کاربر،‌ نرم افزار 4 Fiddler رو اجرا کرده. به همین سادگی!

اما کار هنوز تموم نشده. نکته‌ای که در اینجا وجود داره اینه که از ویندوز ۷ به بعد،‌ مسیر اجرای برنامه‌ها هم طبق الگوی مشخصی در رجیستری ثبت میشه. اون رشته کاراکتری که در ابتدای متن داخل براکت می‌بینید در واقع مسیر اجرای نرم افزار Fiddler هست. اگر این رشته رو تبدیل کنیم مسیر زیر بدست میاد:

Before: {9E3995AB-1F9C-4F13-B827-48B24B6C7174}

After: %APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned

لیست کامل مسیرها رو میتونید اینجا ببینید:

https://docs.microsoft.com/en-us/windows/win32/shell/knownfolderid