1 min to read

Persistence [RegKeys & StartupFolders] (Ar)

Persistence via Registry Keys & Startup Folders

Featured image

الـ Persistence من أهم المراحل للMalware عشان يحافظ على وجوده أو وصوله للنظام حتى لو حصل للنظام ده reboot او اتغيرت الصلاحيات او حصلت اي مشاكل تمنع المالوير من الوصول للنظام بشكل عام، وفي المقال دا كتبت معظم الـ Reg Keys اللي ممكن يستخدمها المالوير في تثبيت وجوده ✍️

من ضمن طرق الPersistence اللي بتستخدمها الMalware حاجة اسمها Boot/Logon Autostart Execution ودي طريقة منتشرة ممكن تتم بطرق كتير، وهنتكلم عن واحدة منهم حالياً وهي عن طريق ال Registry Keys & Startup Folder. فعلى سبيل المثال فيه Registry Keys و Startup Folder في الويندوز مسؤولين عن تشغيل البرامج والخدمات بشكل تلقائي لما المُستخدم يعمل Login او لما الجهاز يعمل Reboot (إعادة تشغيل).
دي مسارات الstartup folder في الويندوز:
C:\Users\[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

و دي Registry Keys موجودة على الويندوز بشكل إفتراضي ومسؤولة عن تشغيل البرامج تلقائيا:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

بعض الRegistry Keys ممكن يتم استخدامها في التحكم في الStartup Folder زي:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

وبعضها ممكن يتحكم في الServices اللي بتشتغل أثناء عملية الboot زي:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

وبعضها بيستخدم الPolicy settings زي:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

وفيه keys تانية زي:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
بس دول أشهر الkeys المُستخدمة.

ممكن تستخدم اداة Autoruns عشان تشوف الstartup entries الموجودة في السيستم، وممكن تستخدم ادوات ProcMon او RegShot لمراقبة الRegistry Activity بشكل عام. ويستحسن يتعمل Monitoring على الFile Modifications و المسارات والkeys المهمة في السيستم.