اخي هوى لا يبحث عن القيم الافيرا لانها لاتضر ولا تنفع يبحث عن الفايروس
يعني روابط الفايروس مثلاً C:\virus.exe يفحصه وتطلع النتيجة
مالنا ومال القيم هاي مثلاً (f54fdg54fdg54fdg5) وا (00000120101) ...الخ لاتضر ولا تنفع
ملاحظة القيم كمان يدل على روابط مثل C:\virus.exe
انشالله كلامي صح
الرجستري registery في الوندوز وكيف يعمل
ما هو الرجستري ؟ وما اهميته وكيف يمكننا التعامل معه .. هو سر من اسرار الوندوز لكن لم يعد سرا … صممت مايكروسوفت هذا البرنامج الخدمي ليتيح للمستخدمين المتطورين التحكم بالوندوز وبخيارات لا نهائية .
والرجستري هو عبارة عن database لإغلب ال Settings الموجودة بالوندوز و البرامج و التطبيقات المثبتة على الجهاز. + فهو يستخدم في تخزين البيانات الضرورية لِـبُـنيةِ و تكوين النظام و تخزين خصائص كل user و تخزين ميزات الأجهزة المتصلة بالحاسوب(the peripherals) مثل الطابعة و الماسحة الضوئية..
+ الرجستري يحتوي على معلومات ترجع إليها الويندوز بشكل مستمر أثناء التشغيل، مثل استدعاء البيانات الخاصة بمستخدم ما عند طلبه تسجيل الدخول على الويندوز. هل سألت نفسك مرة كيف يمكن لملف ذو امتداد معين و ليكن doc ،إذا حاولت فتحه .. فإن Ms Word يقوم بعرض محتويات ذلك الملف؟ هذا معناه أن هناك في الرجستري تخصيص و تحديد للملفات حسب الإمتداد و المعروف بال Extension. البرنامج ألا و هو Ms Word تم تخصيص امتدادات معينة له مثل doc، بحيث إذا وجد ملف بهذا الإمتداد يكون الآكون المخصص له هو آيكون برنامج الوورد .
. و كذلك البرنامج الذي سيتم عن طريقه فتح الملف هو برنامج الوورد. + الرجستري أصبح معتمدا من قبل ميكروسوفت في أنظمة التشغيل الحالية، فقد استبدل ملفات text-based .ini المستخدمة في Windows 3.x و كذلك ال DOS configuration files مثل Autoexec.bat و Config.sys . + على الرغم من أن الرجستري يعد مشترك لعدة أنظمة تشغيل ويندوز ، إلا أن هناك إختلافات في الرجستري من نظام ويندوز إلى أخر .
. طبعا هذا الإختلاف يرجع لإختلاف بُـنيَـة أنظمة الاتشغيل. + بيانات الرجستري يتم تخزينها في binary files . يعني لو أحد فتح ملف من هذه الملفات ما راح يعرف ويش مكتوب فيها. كيف ندخل على الرجستري ؟ 1. من قائمة إبدأ إختر Run 2. ثم اكتب regedit أو يمكن الدخول عليه بهذا المسار: drive:\WINDOWS\regedit.exe drive هنا هو القسم (the partition) الي تم تنصيب الويندوز عليه. مثلا C أو D أو .
. ما هو ال Key ؟ الرجستري له بنية هرمية. مثل ما الفولدرات على الهاردسك كل فولدر(مجلد) ليه Key . أيضا هنا في الرجستري عدنا Keys . يوجد خمسة keys في الرجستري معرفة بواسطة Microsoft : ::HKEY_CURRENT_USER:: و هذا يحتوي على جذور معلومات بُـنيَـة النظام للمستخدم الي يستخدم الحاسب في ذاك الوقت(the user who is currently logged on) . و أيضا يحتوي على مجلدات المستخدم، ألوان الشاشة، و تحديد الخيارات الي هي ال (Control Panel Settings) . هذا ال Key يختصر أحيانا كالآتي: “HKCU” . ::HKEY_USERS:: و هذا يحتوي على معلومات كل مستخدمي الحاسوب. HKEY_CURRENT_USER يعتبر جزء من HKEY_USERS الي أحيانا يختصر “HKU” . ::HKEY_LOCAL_MACHINE:: و هذا يحتوي على معلومات بنية النظام الخاصة بنظام التشغيل. و هذا يختصر أحيانا “HKLM” . ::HKEY_CLASSES_ROOT:: و هذا ال key جزء من HKEY_LOCAL_MACHINE\Software . البيانات المخزنة هنا تتيح فتح البرنامج الصحيح عند محاولة فتح ملف ما. و هذا ال key يختصر “HKCR” . في ويندوز 2000 ، فإن هذه البيانات تخزن في HKEY_LOCAL_MACHINE و HKEY_CURRENT_USER . ال HKEY_LOCAL_MACHINE\Software\Classes يتحتوي على ال Default Settings الي تتطبق على كل المستخدمين. الHKEY_CURRENT_USER\Software\Classes key يحتوي على معلومات تستبدل ال Default Settings بال Settings الي يحددها المستخدم النشط (Interactive User). ال HKEY_CLASSES_ROOT key يمدنا بعرض للرجستري بحيث يدمج معلومات هذين المصدرين. لتغيير ال Settings للمستخدم النشط، فإن التغييرات لابد أن تتم عن طريق HKEY_CURRENT_USER\Software\Classes بدلا من HKEY_CLASSES_ROOT . ماذا يحدث لو حاولنا كتابة key في HKEY_CLASSES_ROOT محاولين بذلك تغيير ال settings للمستخدم النشط ؟ يقوم النظام بتخزين ال key في HKEY_LOCAL_MACHINE\Software\Classes ::HKEY_CURRENT_CONFIG:: و هذا ال key يحتوي معلومات عن سجل الهاردوير في الحاسب المحلي أثناء تشغيل النظام(at System Startup ). ما هي ال Value ؟ ال Value في الرجستري مثل ملف داخل مجلد. بحيث ليه قيمة (value) و ليه اسم (name). الvalue تحتوي على جزئين رئيسيين: – value name: مثل اسم الملف، و الي يعرف لينا اسم ال value. – value data: مثل محتويات الملف، و الي تحتوي على بيانات ال value. هناك خمسة أنواع من ال values: ::Binary Value “REG_BINARY”:: و هذه ال value لتخزين بيانات خامَة (Raw Binary Data). بحيث تكون خاصية أو ميزة معينة في النظام موصوفة بقيم ثنائية(binary) ألا و هي الصفر و الواحد. أغلب المعلومات عن مكونات الهاردوير تخزن في الرجستري على هيئة بيانات ثنائية (Binary Data) ، و تعرض في محرر الرجستري(Registry Editor) على شكل الهيكساديسمل(Hexadecimal format). اسمحو لي أن أخرج عن إطار الموضوع لتعريف أنظمة العد: أكيد البعض سمع بأن هناك أكثر من نظام عد. إليكم أنظمة العد الأساسية: + العد الثنائي(Binary) : و فيه يعبر عن الأعداد و القيم بال 0 و ال 1 + العد الثماني(Octal): يعبر عن الأعداد ب 0,1,2,3,4,5,6,7 + العد العشري(Decimal): يعبر عن الأعداد ب 0,1,2,3,4,5,6,7,8,9 + العد السداسي العشري(Hexadecimal) : الذي فيه يعبر عن الأعداد و القيم ب 0,1,2,3,4,5,6,7,8,9 بالإضافة إلى a,b,c,d,e,f لاحظ أن تسمية أي نظام لم تأتي من عبث، بل جاءت من عدد الوحدات التي يحويها، فالنظام الثنائي يحوي وحدتين، و النظام الثماني يحوي ثمان وحدات و هكذا. :WORD Value “REG_DWORD”:: بيانات يعبر عنها بعدد، تخزين هذا العدد يحتاج (4Byte Long (a 32-bit integer. و هذه ال value تستخدم لتخزين ال parameters الخاصة بدرايفرات الأجهزة مثل ال VGA , Printer,Scanner,etc ، بالإضافة إلى الميزات الخدمية. و هذا النوع من ال values يعرض في الرجستري على هيئة binary ، Hexadecimal أو حتى decimal format . ::String Value “REG_SZ”:: لتخزين نصوص ذو طول ثابتFixed-length . ::Multi-String Value “REG_MULTI_SZ”:: لتخزين نصوص متعددة، أو قائمة من النصوص على الهيئة الي الشخص العادي يقدر يقرأها. و هنا المدخلات راح تكون مفصولة بفراغات أو فواصل و بعض الرموز. ::Expandable String Value “REG_EXPAND_SZ”:: لتخزين بيانات نصية في متغيرات(variables)، و هذا يتضمن المتغيرات الي تحجزها البرامج عند استخدامها
المعلومة من موقع
k: :hh: :u:
ملاحظة القيم كمان يدل على روابط مثل C:\virus.exe
انشالله كلامي صح/QUOTE]
شكرا يالغالي على المعلومات .. :d:
طيب الحين انا دخلت الرجستري .. وحصلت مجلد Software موجود في HKEY_CURRENT_USER وايضا موجود في HKEY_LOCAL_MACHINE وش الفرق :no:
--------
طيب لو فرضنا ان جهازي تم اختراقه .. والمخترق جعل الباتش يعمل مع بدء التشغيل .. ما يسجل له قيمة في الرجستري ؟
وينك ياابو العباس .. :d:
