رجیستری یک پایگاه داده خیلی بزرگ در سیستم عامل ویندوزه که وظیفه حفظ پیکربندیهای ویندوز و برنامهها رو بر عهده داره. شما میتونید در رجیستری، تنظیمات خیلی از نرمافزارها که به صورت عادی قابل تغییر نیستند رو ویرایش کنید.
گاهی وقتها در بررسی کیسهای فارنزیک، لازمه بدونیم که کاربر/مهاجم چه برنامههایی رو اخیرا روی سیستم قربانی اجرا کرده. این موضوع در رسیدگی به یک حمله سایبری خصوصا حملات بدافزاری خیلی بدرد میخوره. خب جالبه بدونید که در رجیستری ویندوز، مجموعه کلیدهایی به نام UserAssist وجود داره که تاریخچه اجرای برنامههایی که کاربر از طریق Windows Explorer اجرا کرده رو داخل خودش نگهداری میکنه.
نکته: برنامههایی که از طریق خط فرمان (cmd.exe) اجرا شدن اینجا ثبت نمیشه.
اما آدرس این کلیدها:
HKEY_USERS\{SID}\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count\
در آدرس بالا GUID یک عدد ثابته و در ویندوز ۷ به بعد مقدار اون به این صورته:
CEBFF5CD-ACE2-4F4F-9178-9926F41749EA
F4E57C4B-2036-45F0-A9AB-443BCFE33D9F
داخل هر GUID کلیدی به نام Count وجود داره که اطلاعات مورد بحث ما داخلش نگهداری میشه. زمانی که به این آدرسها در رجیستری مراجعه کنید میبینید که تمام مقادیر ثبت شده به صورت انکود شده هستن و قابل خوندن نیستن. مایکروسافت در واقع با این کار یک لایه Obfuscation (مبهم سازی) رو بر روی مقدار این کلیدها اعمال کرده.
اما خبر خوب اینکه برای اینکار از الگوریتم ROT13 که یک روش ساده برای رمزگذاری حروف الفباست استفاده شده. در این روش، هر حرف، با سیزدهمین حرف بعد از خودش در حروف الفبا جایگزین میشه. (مثلا حرف A برابر با M و حرف B برابر با N میشه و الی آخر)
خب ابزارهای زیادی برای دیکود کردن این الگوریتم وجود داره که اگر گوگل کنید پیدا میکنید. حتی با صرف کمی وقت خودتون هم می تونید اینکار رو انجام بدید. (راستش خودمم نفهمیدم چرا مایکروسافت از این الگوریتم ساده استفاده کرده! ?)
به تصویر زیر دقت کنید. من این رشته رو دیکود کردم و خروجی به من میگه که کاربر، نرم افزار 4 Fiddler رو اجرا کرده. به همین سادگی!
اما کار هنوز تموم نشده. نکتهای که در اینجا وجود داره اینه که از ویندوز ۷ به بعد، مسیر اجرای برنامهها هم طبق الگوی مشخصی در رجیستری ثبت میشه. اون رشته کاراکتری که در ابتدای متن داخل براکت میبینید در واقع مسیر اجرای نرم افزار Fiddler هست. اگر این رشته رو تبدیل کنیم مسیر زیر بدست میاد:
Before: {9E3995AB-1F9C-4F13-B827-48B24B6C7174}
After: %APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned
لیست کامل مسیرها رو میتونید اینجا ببینید:
https://docs.microsoft.com/en-us/windows/win32/shell/knownfolderid