ميار عكفي

Windows Registry Triage: أداة مبسطة لفهم الأثر الرقمي

|

في كثير من التحقيقات السيبرانية، لا تكون الأدلة صاخبة ولا واضحة منذ البداية، بل تكون مختبئة في أماكن اعتادت أن تكون صامتة.
أحد هذه الأماكن هو سجلّ نظام ويندوز (Windows Registry).

الريجستري ليس مجرد قاعدة إعدادات، بل ذاكرة تشغيلية تسجل ما مرّ على النظام: مستخدمون، أجهزة، برامج، وتوقيتات تركت أثرها حتى بعد اختفائها الظاهري.

من هذا الفهم، وُلِدت فكرة هذا المشروع.

لماذا الريجستري؟

لأن الريجستري:

  • يحتفظ بمعلومات محورية في التحقيقات الرقمية
  • يُستخدم كثيرًا في مراحل Incident Response و Digital Forensics
  • يعكس العلاقة بين السلوك التقني و الزمن
  • غالبًا ما يتم تجاهله لصعوبته أو تشعّبه

هذا المشروع لا يسعى لفكّ كل أسراره، بل لتقديم مدخل عملي وبسيط لفهمه.

ما الذي تقوم به الأداة؟

الأداة عبارة عن سكربت يعمل على نظام ويندوز، مصمم ليكون خفيفًا، مباشرًا، وسهل التشغيل.

عند تشغيل الأداة، تتيح للمستخدم:

  • Scan
    لجمع معلومات أساسية مثل:

    • اسم الجهاز
    • المستخدم الحالي والمستخدمين الموجودين
    • معلومات النظام العامة
    • بيانات ذات قيمة أولية في التحقيقات
  • Export
    تصدير النتائج إلى ملف:

    • TXT أو CSV
      لاستخدامها في:
    • التوثيق
    • التقارير
    • التحليل اللاحق
  • Exit
    للخروج دون أي أثر إضافي

كل ذلك يتم محليًا دون اتصال بالإنترنت، ودون الاعتماد على أدوات خارجية.

لماذا الاكتفاء بالأساسيات؟

عن قصد، لم يتم تحميل الأداة بتعقيد زائد، وذلك للأسباب التالية:

  • إبقاء الأداة قابلة للفهم لأي مهتم أو مبتدئ
  • التركيز على المنهجية لا كثرة النتائج
  • إظهار كيف يمكن بناء أدوات تحقيق مبدئية بأدوات بسيطة
  • جعل الكود قابلًا للتوسعة والتطوير لاحقًا

مميزات مستقبلية ممكنة:

يمكن تطوير الأداة لاحقًا لتشمل:

  • قراءة مفاتيح Registry أكثر تعقيدًا (Run, Services, MRU)
  • تتبع تواريخ التشغيل والإيقاف
  • ربط النتائج بسيناريوهات Incident Response
  • إضافة تصنيف أولي للمخاطر
  • تحسين التصدير وربطه بتقارير تحقيقية

لكن في هذا المشروع، كان الهدف هو بناء نسخة أولية (MVP) واضحة ومحددة النطاق، تركز على الأساسيات دون توسّع، هدفه الفهم، لا الإبهار.

الخلاصة

هذه الأداة ليست بديلًا عن أدوات التحقيق الاحترافية، ولا تدّعي كشف كل شيء.

بل هي تمرين عملي لفهم:

  • كيف يتحدث النظام بعد الصمت
  • كيف نقرأ الأثر بدل الحدث
  • وكيف نربط بين التقنية، الزمن، والسلوك

وهو جوهر العمل في الأمن السيبراني، الاستجابة للحوادث، والحوكمة التقنية.

  يمكن الاطلاع على كود الأداة وتنفيذها عمليًا عبر GitHub:

  windows-IR-triage

اترك تعليقًا يُثري التدوينة