Cyber Security

Windows Registry Analysis කියලා කියන්නේ මොකක්ද?

අද article එකෙන් අපි කතා කරන්න යන්නේ Windows Registry Analysis ගැන. මේක අපි practical එකක් එක්කම කරන් යමු. ඒකට ඕනි resources files and tools ඔයාට මේ link එකෙන් download කර ගන්න පුලුවන්.

https://drive.google.com/drive/folders/1vdEm0uYtwInAoI9pBcViH93CB-hS_c__?usp=share_link

Practical එකට එන්න කලින් අපි windows registry කියන්නේ මොකක්ද කියලා idea එකක් ගම්මු.

Windows registry කියලා කියන්නේ windows operating systems වල තියෙන configurations වලට related ( Application related details, hardware related details, user details) information store වෙලා තියෙන hierarchical central database එකක් කිව්වොත් හරියටම හරි.

ඔයාගේ laptop එකේ computer එකේ තියෙන registry files මොනවද කියලා ඔයාටම බලා ගන්න පුලුවන්. ඒකට registry editor කියලා tool එකක් ඔයාගේ device එකේ pre install කරලා එනවා.

Registry editor කියලා search කරාම ඔයාට මේ වගේ interface එකක් බලා ගන්න පුලුවන් වෙයි. හැබැයි මේක ගැන හරි idea එකක් නැතුව මුකුත් click කරන්න නම් යන්න එපා. මොකද මේකේ තියෙන configurations change උනොත් සමහර විට ඔයාගේ operating system එක වැඩ කරන්නේ නැතුව යන්න පුලුවන්.

Registry editor එක open කරපු ගමන් ඔයාට මේ විදියට files 5 ක් බලා ගන්න පුලුවන් වෙනවා. මේවට අපි logical hives කියලා කියනවා. මොකද මේ files 5 මත base වෙලා තමයි computer එකේ අනෙත් වැඩ සේරම වෙන්නේ.

හරි. එතකොට logical hives කියන files අපට hard disk එකේ physically බලා ගන්න පුලුවන්ද? ඔව්. මේ files අපේ device එකේ hard disk එකේ එක එක තැන් වල තමයි save වෙලා තියෙන්නේ. ඔයාට ඒවා මේ locations වලින් බලා ගන්න පුලුවන් වෙනවා.

මේ image එකේ තියෙන්නේ windows XP වල logical hives, physically store වෙලා තියෙන විදිය කිව්වොත් හරොයටම හරි. මේකේ අන්තිමට තියෙන file එක, ඒ කියන්නේ ntuser.dat කියන file එක තමයි අඔඅට ගොඩක්ම වැදගත් වෙන්නේ. ඒ ඇයි කියලා අපි කතා කරමු.

ඔයා හිතන්නකෝ ඔයාගේ computer එකේ laptop එකේ user ලා තුන් දෙනෙක් ඉන්නවා කියලා. එතකොට ඒ ඒ users ලට වෙන වෙනම ntuser.dat කියන files ඔයාගේ devices එකේ create වෙනවා. මේවා use කරලා අපට එක එක uses ලා මොනවද කරන්නේ කියලා idea එකක් ගන්න පුලුවන් වෙනවා.

අපි කලින් කිව්වනේ ntuser.dat කියලා කියන්නේ Windows XP වල ආපු file format එකක් කියලා. අලුත් operating systems වල, ඔයාට මේ file එක USERCLASS.DAT කියලා බලා ගන්න පුලුවන් වෙනවා. ඊට අමතරව, USERCLASS.DAT කියන file එකේ muicache & shellbags data store වෙනවා.

දැන් අපි SAM \ SECURITY \ SOFTWARE \ SYSTEM කියන files වල තියෙන්නේ මොනවද කියලා වෙන වෙනම discuses කරමු.

SAM (Security Account Manager)

File Path – C:\WINDOWS\System32\config\SAM

Security Account Manager එහෙම නැත්නම් SAM file එක applicable වෙන්නේ local or domain administrators ලට කිව්වොත් හරියටම හරි. ඒ කියන්නේ SAM File එක use කරලා අපට system එකට අදාලා authentication information බලා ගන්න පුලුවන් වෙනවා.

Example එකක් විදියට, කිව්වොත් දැනට system එකේ ඉන්න users ලා කව්ද? එයාලා මොන වගේ user ලද? ඒ කියන්නේ super user කෙනෙක්ද? root user කෙනෙක්ද? Normal administrator කෙනෙක්ද? කවද්ද මෙයාලා system එකට අන්තිමට ඇතුල් උනේ? එතකොට එයාලගේ usernames මොනවද? SID මොනවද? encrypted passwords මොනවද කියලා අපට බලා ගන්න පුලුවන් වෙනවා.

SECURITY

File Path – C:\WINDOWS\System32\config\SECURITY

Security file එකෙන් අපට limited information ටිකක් තමයි ගන්න පුලුවන් වෙන්නේ. මේක use කරලා administrator security permissions වගේම system එකේ security policy ගැන පොඩි details වගයක් අපට බලා ගන්න පුලුවන් වෙනවා.

SOFTWARE

File Path – C:\WINDOWS\System32\config\SOFTWARE

ඊලටට අපය කතා කරන්න තියෙන්නේ software file එක ගැන. මේක නිසා අපට system එකේ තියෙන program files and windows settings මොනවද කියලා බලා ගන්න පුලුවන් වෙනවා.

SYSTEM

File Path – C:\WINDOWS\System32\config\SYSTEM

System file එක නිසා අපට අපට operating system settings & mounted devices , hardware settings, services (Connected devices) ගැන details බලා ගන්න පුලුවන් වෙනවා.

NTUSER.DAT

මේ file එක, එක එක user ට අනුව specific වෙනවා කියලා අපි කිව්වනේ. ඉතිං මේක නිසා අපට user activities මොනවද කියලා බලා ගන්න පුලුවන් වෙනවා.

දැන් අපි මේවා එක්ක Practical වැඩ කරන විදිය බලමු.

ඔයාලට download කර ගන්න දුන්න Resource file එකේ Registry Browser කියලා tool එකක් තියෙනවා. මුලින්ම ඒක download කරලා installs කර ගන්න.

Tool එක open කරාට පස්සේ ඔයාට මේ වගේ interface එකක් බලා ගන්න පුලුවන් වෙයි.

දැන් අපට මේ tool එකට registry hive files දාලා analysis කරන්න පුලුවන්. ඔයා දන්නවනේ ඔයාගේ live machine එකෙත් registry hive තියෙනවා කියලා. එහෙම live state එකේ තියෙන files මේ tool එකට එකට support නෑ.

Reg Ripper

මොකක්ද මේ RegRipper කියලා කියන්නේ? දැන් කතා කරමු ඒක ගැන. ඊට කලින් ඔයාට කරන්න වැඩක් තියෙනවා. Resource file එකට ගිහින් RegRipper කියන file එක මුලින්ම download කරන්න. ඊට පස්සේ අපි practical එකට එමු.

ඒ වගේම තමයි ඔයාට මතක් කරන්න ඕනි මේ tools run කරනකොට අනිවාර්‍යෙන්ම run as a administrator විදියට තමයි run කරන්න ඕනි. නැත්නම් ඔයාට අවශ්‍ය සමහර results මේ tools වලින් ගන්න බැරි වෙනවා.

RegRipper කියන file එක download කරාට පස්සේ ඔයාට මේ වගේ interface එකක් බලා ගන්න පුලුවන් වෙයි.

දැන් ඔයාට කරන්න තියෙන්නේ rr.exe file එක run as a administrator විදියට run කරන එක. දැන් ඔයාලට මේ වගේ interface එකක් බලා ගන්න පුලුවන් වෙයි.



හරි. දැන් ඔයාට කරන්න තියෙන්නේ අර resource file එකේ තියෙන Sample WR Files-20220820.zip කියන file එක extract කර ගන්න එක. මේක use කරලා RegRipper tool එකෙන් වැඩ කරන විදිය දැන් අපි බලමු.

හරි. දැන් අපි RegRipper tool එක use කරලා Sample WR Files-20220820.zip කියන file එකේ තියෙන NTUSER.DAT කියන file එක analysis කරලා recreantly active files මොනවද කියලා බලමු.

මුලින්ම ඔයාට කරන්න තියෙන්නේ RegRipper tool එකට file path එක දෙන එක.

මේකේ result එක විදියට අපට text document එකක් හම්බු වෙනවා. ඒක save වෙන්න ඕනි path එක සහ file name එක අපි මේ විදියට දෙන්න ඕනි.

ඊට පස්සේ Rip කියන button එක click කරන්න.

හරියට file එකේ data report උනා නම්, ඔයාට මේ විදියට message එකක් බලා ගන්න පුලුවන් වෙයි. ( 0 plugins completed with errors.)

දැන් report එක save වෙන්න දීපු location එකට ගිහින් බලමු. දැන් ඔයාට මේ වගේ files දෙකක් බලා ගන්න පුලුවන් වෙයි.

මේකෙන් අපට වැදගත් වෙන්නේ ntuser.txt කියන file එක කිව්වොත් හරියටම හරි. මේක open කරාම ඔයාට මේ වගේ report එකක් බලා ගන්න පුලුවන් වෙයි.

හරි, දැන් අපේ main task එක වෙන්නේ මේ report එක use කරලා recreantly accesses files මොනවද කියලා බලන එකෙනේ. එතකොට මේ report එක ගොඩක් දිග report එකක්නේ. දැන් ඉතිං අපි කොහොමද හරියටම recreantly accesses files අදුර ගන්නේ. ඒකට අපට special key words use කරන්න වෙනවා. ඒ ගැන තියෙන document එකක් ඔයාට මේ link එකෙන් download කර ගන්න පුලුවන්.

https://drive.google.com/file/d/1VnOyH-4KpEOSHEadGBh324Qjf6R9fBRX/view?usp=share_link

හරි. මේ document එකට අනුව නම්, recreantly accesses files අදුර ගන්න පුලුවන් අපට MRU කියන key word එකෙන්.

දැන් අපට txt file එකෙන් මේකට අදාල details collect කර ගන්න පුලුවන් වෙනවා.

හරි. දැන් අපි බලමු machine එකට connect වෙලා තියෙන USB devices මොනවද කියලා අදුර ගන්නේ කොහොමද කියලා?

දැන් ඔයාලට පේනවනේ system files analysis කරොත් අපට අවශ්‍ය data ගන්න පුලුවන් වෙනවා කියලා.

දැන් අපි බලමු මේ computer එක use කරපු user ලා කව්ද කියලා?

දැන් ඔයාලට පේනවනේ SAM file analysis කරොත් අපට අවශ්‍ය data ගන්න පුලුවන් කියලා.

දැන් එහෙන්ම් ඔයාලට Windows Registry files ගැන හොද idea එකක් එන්න ඇති. ඊලට article එකෙන් අපි තවත් මේ වගේම අලුත් දෙයක් ගැන කතා කරමු.

What's your reaction?

Excited
0
Happy
5
In Love
4
Not Sure
0
Silly
0

Leave a reply

Your email address will not be published. Required fields are marked *

Next Article:

0 %
Open chat
1
Hello 👋,
Cyber Godzilla Waiting For you !!

හෙල්ප් එකක් ඕනෙද ?