Persistence via RegKeys

Persistence via RegKeys & StartupFolder

الPersistence من أهم المراحل للMalware عشان يحافظ على وجوده أو وصوله للنظام حتى لو حصل للنظام ده reboot او اتغيرت الصلاحيات او حصلت اي مشاكل تمنعه من الوصول للنظام بشكل عام.. من ضمن طرق الPersistence اللي بتستخدمها الMalware حاجة اسمها Boot/Logon Autostart Execution ودي طريقة منتشرة ممكن تتم بطرق كتير خلينا نتكلم على واحدة منهم في البوست دا وهي عن طريق ال Registry Keys & Startup Folder فعلى سبيل المثال فيه Registry Keys و Startup Folder في الويندوز مسؤولين عن تشغيل البرامج والخدمات بشكل تلقائي لما المُستخدم يعمل Login او لما الجهاز يعمل Boot... ده مسار الstartup folder في الويندوز: C:\Users\[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp و دي Registry Keys موجودة على الويندوز بشكل إفتراضي ومسؤولة عن تشغيل البرامج تلقائيا: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce بعض الRegistry Keys ممكن يتم استخدامها في التحكم في الStartup Folder زي: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders وبعضها ممكن يتحكم في الServices اللي بتشتغل أثناء عملية الboot زي: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices وبعضها بيستخدم الPolicy settings زي: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run وفيه keys تانية زي HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell بس دول أشهر الkeys المُستخدمة. ممكن تستخدم اداة Autoruns عشان تشوف الstartup entries الموجودة في السيستم، وممكن تستخدم ادوات ProcMon او RegShot كمان لمراقبة الRegistry Activity بشكل عام ويستحسن يتعمل Monitoring على الFile Modifications و المسارات والkeys المهمة في السيستم.