يعتبر الـ Registry جزء من نظام التشغيل Windows، حيث يعد مهمًا للغاية، فكلما عرفت المزيد عنه، كلما تمكنت من التحكم بشكل أفضل وأكثر دقة في كيفية تفاعل نظام التشغيل مع برامجك، وبمساعدته، يتم إجراء العديد من التغييرات التي تغير سلوك هذا نظام التشغيل تمامًا، لذلك سنتعرف اليوم على السجل والدور الرئيسي الذي يلعبه.

تعريف الـ Registry

هو عبارة عن قاعدة بيانات هرمية تخزن إعدادات نظام التشغيل Windows وخيارات التكوين، وأيضًا يخزن معلومات حول النظام والبرامج وتفضيلات المستخدم والإعدادات الأخرى مثل جميع البيانات التي تتعلق بالنظام من الضبط والاعدادات والكثير وأي تعديلات أو إضافات تتم من Hardware وSoftware، ويمكن أن تؤثر التغييرات التي تم إجراؤها على إعدادات تسجيل Windows هذه على سلوك نظام التشغيل والتطبيقات المثبتة.

يمكن للمستخدمين الوصول إلى السجل وتعديله باستخدام محرر التسجيل المدمج “regedit.exe”، ومع ذلك، يجب عليك الحذر في أثناء تحرير الـ Registry، وذلك لأن التغييرات غير الصحيحة يمكن أن تؤدي إلى عدم استقرار النظام وتعطله، ولذلك، نوصي بعمل نسخة احتياطية من السجل الخاص بك أو إنشاء نقطة استعادة للنظام قبل إجراء أي تغييرات.

وبدأ الريجيستري مع نظام التشغيل Windows 95، إلا أن هذه النسخة واجهت العديد من المشاكل، والتي بدأت في التحسن مع ظهور نظام التشغيل Windows 98 والتي أصبحت أفضل بكثير.

أين يوجد الـ Registry؟

هناك عدة طرق لفتح الـ Registry وهي كما يلي:

• يوجد الريجيستري كبرنامج تنفيذي من نوع “exe” في مجلد Windows على المسار التالي: C:\Windows\regedit
• يمكنك أيضًا تشغيله بالانتقال إلى القائمة “Start” وكتابة registry في مربع البحث، ستجدها في اول نتيجة بالبحث.
• وأيضًا بالضغط على مفتاح الويندوز + حرف “r” في الكيبورد، وستظهر نافذة صغيرة، ثم اكتب “regedit”،ثم اضغط على”OK”

عناصر الـ Registry

يحتوي الـ Registry على عنصرين رئيسيين يجب أن تعرفهما المفتايح”Keys” والقيم “Values”:

• Registry keys: هي مجلدات وتبدو في الواقع مثل المجلدات.
• أما القيم “values”: فتحتوي الملفات الموجودة داخل المجلد والإعدادات الفعلية.

عند فتح محرر الريجيستري لأول مرة، تظهر قائمة تحتوي على مفاتيح “keys” على اليسار، إضافةً إلى وجود “Values” على الجانب الأيمن، حيث من السهل رؤيتهما.

تعتبر المفاتيح “Keys” الظاهرة على الجانب الأيسر من لقطة الشاشة مهمة، حيث يحتوي كل منها على مجموعة مختلفة من المعلومات، اعتمادًا على ما تحاول القيام به، وعليك أن تعرف القسم الذي تريد التمرير إليه.

أهم “Registry Keys“ ودور كل منها

تبدو مشابهة للمجلدات، لكنها في الحقيقة ليست كذلك، حيث تحتوي المفاتيح “Keys” على مجموعة من القيم وهي Registry Value أو مجموعة مفاتيح جزئية “subkeys”.

وتنقسم مجموعة المفاتيح الجزئية في النظام إلى خمس مجموعات رئيسية (مفاتيح) تسمى “Hive” أو “root keys”، وهي كما يلي:

HKEY_CLASSES_ROOT

يستخدم Windows هذا المفتاح لإدارة اقترانات نوع الملف، حيث يتيح لك هذا المفتاح تحديد جميع الملحقات المسجلة مع Windows والبرنامج الافتراضي (الذي يُختصر عادةً باسم HKCR) لاستخدامه عند فتحها، ويرتبط هذا المفتاح بمجلد HKLM\Software\Classes.

HKEY_CURRENT_USER

يحفظ إعدادات المستخدم للمستخدم الذي قام بتسجيل الدخول حاليًا، يتم اختصاره عادةً باسم HKCU، ويعد المفتاح الفرعي الأكثر أهمية هنا هو HKCU\Software، والذي يحتوي على إعدادات البرامج المثبتة للمستخدم النشط.

HKEY_LOCAL_MACHINE

تُخزن جميع إعدادات Windows الخاصة بك هنا، ويتم اختصاره عادةً باسم HKLM، وفي معظم الحالات، يُستخدم مفتاح HKLM\Software للتحقق من إعدادات الكمبيوتر أو Windows.

HKEY_USERS

تحفظ كافة الإعدادات لجميع المستخدمين، ويُختصر عادةً باسم HKCU، ويمكنك استخدام هذا المفتاح إذا كنت تريد رؤية إعدادات المستخدمين الآخرين على جهاز الكمبيوتر الخاص بك.

HKEY_CURRENT_CONFIG

يتم فيه حفظ جميع الإعدادات لكل hardware، وأيضًا يوجد به قيم خاصة بالأجهزة المرتبطة ب النظام مثل لوحة المفاتيح والطابعة، والذي نادرا ما يستخدم.

ما هو الـ Registry Values

هي عبارة عن التعليمات والقيم الخاصة لكل برنامج على النظام، وهناك خمسة أنواع من هذه القيم كالآتي:

• String value: يتم تخزين هذا النوع من القيمة بتنسيق يمكن قراءته ويتكون من قيمة واحدة.
• String array value: تتشابه مع String value مع اختلاف أنها تحتوي على قيم متعددة بدلاً من قيمة واحدة.
• Expanded string value: يختلف هذا النوع عنString array value من حيث أنه يحتوي على متغيرات (variables)، أي أنه عند استدعاء قيمة من هذا النوع عند الطلب، سيتم استدعاء قيمة المتغير الذي يحتوي عليه.
• Binary value: يتم تخزين القيم من هذا النوع في النظام الثنائي (0،1).
• DWORD value: يتم تخزين القيم بتنسيق hexadecimal او decimal لملفات 32 بت.
• QWORD value: تشبه DWORD value ولكن لملفات 64 بت.

فوائد تحليل Windows Registry

الغرض الرئيسي من تحليل سجل النظام (Windows Registry) هو تحديد عدد المستخدمين على النظام، والمعلومات المتعلقة بكل مستخدم، وأسماء البرامج المستخدمة، والملفات، وأي أجهزة تضاف إلى النظام مثل (طابعات، كاميرات، أجهزة تخزين، وغيرها).

يمكن أيضًا جمع المعلومات المتعلقة بالشبكة مثل عنوان IP وعنوان Mac وقناع الشبكة الفرعية وDHCP وDNC والعديد من المعلومات الأخرى، كما تحتوي هذه الملفات على الكثير من المعلومات، ولكن عندما يتعلق الأمر بالتحليل الجنائي الرقمي، فإن المفاتيح التالية هي الأكثر أهمية بالنسبة لنا، وسنوضح مكان كل منها في الـ Registry:

• SAM
  • (HKEY_LOCAL_MACHINE\SAM)
• SECURITY
  • (HKEY_LOCAL_MACHINE\SECURITY)
• SOFTWARE
  • (HKEY_LOCAL_MACHINE\SOFTWARE)
• SYSTEM
  • (HKEY_LOCAL_MACHINE\SYSTEM)
• Default
  • HKEY_USERS\.DEFAULT

ويتم حفظهم في %SystemRoot%\System32\Config\ في Windows Explorer.

كما يعد NTUSER.DAT أيضًا أحد المفاتيح المهمة بالنسبة لنا ويتم تخزينه في الملفات الشخصية لكل مستخدم.

وخلاصة القول؛ هناك الكثير من المعلومات التي يمكن استخراجها واستخدامها من سجلات النظام، ولكن قبل التعديل على الـ Registry، يجب الحذر من أن هذه الخطوة خطيرة للغاية وقد تؤدي إلى فشل كامل لجهازك، لذلك ننصحك بالتعرف أكثر على هذه الأداة وطريقة عملها وحفظ نسخة منها على جهازك قبل البدء في استخدامها.