این دوره به گونه‌ای طراحی شده است که دانش‌آموختگان را با مهارت‌های عملی و نظری لازم برای انجام تحلیل‌های دقیق پزشکی قانونی رجیستری ویندوز مجهز کند. شما قادر خواهید بود:

• به طور عمیق ساختار پیچیده رجیستری ویندوز (Hiveها، Keyها، Valueها) و انواع داده‌های آن را درک کنید.
• آثار کلیدی فعالیت‌های کاربر را از رجیستری استخراج و تحلیل کنید، از جمله RunMRU، UserAssist، TypedURLs، و فعالیت‌های مربوط به فایل‌های اخیر.
• شواهد مربوط به اجرای برنامه‌ها را شناسایی کنید، مانند ورودی‌های AppCompatCache، Amcache.hve و Shimcache.
• ردپای اتصال و استفاده از دستگاه‌های ذخیره‌سازی USB را کشف و ردیابی کنید.
• مکانیزم‌های پایداری بدافزارها را در رجیستری شناسایی کنید (مانند Run keys، سرویس‌ها، و وظایف زمان‌بندی شده).
• با ابزارهای تخصصی و قدرتمند پزشکی قانونی رجیستری مانند RegRipper، Registry Explorer، KAPE و دیگر ابزارهای خط فرمان به صورت حرفه‌ای کار کنید.
• داده‌های استخراج شده از رجیستری را با سایر منابع اطلاعاتی ادغام کرده و یک جدول زمانی دقیق از رویدادها بازسازی کنید.
• یافته‌های خود را به صورت روشن، مختصر و قابل اعتماد گزارش‌نویسی و مستند کنید.

شرکت در این دوره تخصصی مزایای قابل توجهی برای مسیر شغلی و توانایی‌های حرفه‌ای شما به همراه خواهد داشت:

• افزایش مهارت‌های عملی: شما مهارت‌های عملی مورد نیاز برای انجام تحقیقات عمیق DFIR را در یک محیط ویندوز کسب خواهید کرد.
• آمادگی برای مقابله با حوادث: توانایی شما در تحلیل سریع و دقیق رجیستری، زمان واکنش شما را در مواجهه با حوادث امنیتی به شدت کاهش می‌دهد.
• ارتقای شغلی: این دانش تخصصی شما را به یک دارایی ارزشمند برای هر تیم امنیت سایبری تبدیل کرده و فرصت‌های شغلی جدیدی را برای شما باز می‌کند.
• شناسایی تهدیدات پیچیده: شما قادر خواهید بود حتی پیچیده‌ترین روش‌های نفوذ و پایداری بدافزارها را که از رجیستری برای پنهان شدن استفاده می‌کنند، کشف کنید.
• اعتبار حرفه‌ای: تسلط بر پزشکی قانونی رجیستری نشان‌دهنده تخصص عمیق شما در یکی از حساس‌ترین حوزه‌های امنیت سایبری است.

برای کسب بیشترین بهره‌وری از این دوره، داشتن دانش پایه در زمینه‌های زیر توصیه می‌شود:

• آشنایی اولیه با سیستم عامل ویندوز و نحوه کار با آن.
• مفاهیم پایه شبکه و امنیت سایبری (مانند پروتکل‌های شبکه، فایروال‌ها، بدافزارها).
• (اختیاری اما مفید) آشنایی اولیه با خط فرمان ویندوز (CMD/PowerShell).
• علاقه و انگیزه برای کاوش در جزئیات فنی و حل مسائل پیچیده.

مقدمه‌ای بر پزشکی قانونی رجیستری

در این بخش، با اهمیت رجیستری در تحقیقات DFIR آشنا می‌شوید. خواهید آموخت که چرا رجیستری یک منبع اطلاعاتی حیاتی برای درک رفتار سیستم، فعالیت کاربر و ردپای مهاجمان است. مروری بر اصول پزشکی قانونی و نحوه جایگیری رجیستری در چارچوب یک تحقیق کامل ارائه می‌شود.

ساختار و محتوای رجیستری

این ماژول به بررسی جزئیات فنی رجیستری می‌پردازد. شما با مفاهیم کلیدی مانند Hiveها (Hives)، Keyها (Keys)، Valueها (Values) و انواع مختلف داده‌هایی که در رجیستری ذخیره می‌شوند، آشنا خواهید شد. همچنین، نحوه دسترسی و پیمایش در ساختار درختی رجیستری و اهمیت هر بخش توضیح داده می‌شود.

آثار فعالیت کاربر

این بخش بر روی کشف ردپای فعالیت‌های کاربر تمرکز دارد. شما یاد می‌گیرید چگونه اطلاعاتی از قبیل برنامه‌های اخیراً اجرا شده (RunMRU)، جستجوهای انجام شده، مسیرهای فایل‌های باز شده، و حتی وب‌سایت‌های بازدید شده (TypedURLs) را از رجیستری استخراج کنید. مثال عملی: با استفاده از ابزارهایی مانند RegRipper، چگونگی تحلیل Hiveهای کاربر (NTUSER.DAT) برای یافتن شواهدی از اجرای برنامه‌های خاص یا دسترسی به فایل‌ها توسط یک کاربر مشخص را خواهید آموخت.

تحلیل اجرای برنامه‌ها

در این بخش، شما به عمق شواهد مربوط به اجرای برنامه‌ها در رجیستری می‌پردازید. این شامل تحلیل Artifactهایی مانند AppCompatCache (Shimcache)، Amcache.hve و Prefetch files است که اطلاعاتی حیاتی درباره زمان و دفعات اجرای برنامه‌ها ارائه می‌دهند. مثال عملی: خواهید دید که چگونه یک محقق DFIR می‌تواند با تحلیل AppCompatCache، لیست برنامه‌هایی که در یک سیستم اجرا شده‌اند را پیدا کرده و حتی زمان اولین و آخرین اجرای آن‌ها را تخمین بزند؛ این برای شناسایی بدافزارهای اجرا شده بسیار مهم است.

پزشکی قانونی دستگاه‌های USB

اتصال دستگاه‌های USB یکی از رایج‌ترین روش‌های انتقال داده یا بدافزار است. این ماژول به شما آموزش می‌دهد که چگونه ردپای اتصال و استفاده از فلش مموری‌ها، هارد دیسک‌های اکسترنال و سایر دستگاه‌های USB را از رجیستری (مانند USBSTOR و MountPoints2) پیدا کنید. مثال عملی: با استفاده از Registry Explorer، نحوه یافتن شماره سریال و تاریخچه اتصال یک فلش مموری ناشناس به سیستم قربانی را خواهید آموخت که می‌تواند در شناسایی منبع نفوذ کمک‌کننده باشد.

مکانیزم‌های پایداری بدافزار

این بخش حیاتی‌ترین قسمت برای شناسایی بدافزارها و عوامل تهدید است. شما با شیوه‌های مختلفی که بدافزارها از رجیستری برای حفظ پایداری خود پس از راه‌اندازی مجدد سیستم استفاده می‌کنند (مانند Run keys، سرویس‌ها، و وظایف زمان‌بندی شده) آشنا می‌شوید. مثال عملی: نحوه شناسایی یک ورودی مشکوک در کلید “Run” رجیستری که باعث اجرای خودکار یک بدافزار در هنگام راه‌اندازی ویندوز می‌شود، بررسی خواهد شد.

ابزارها و تکنیک‌ها

دوره به معرفی و آموزش عملی محبوب‌ترین و قدرتمندترین ابزارهای پزشکی قانونی رجیستری می‌پردازد. این شامل ابزارهای GUI محور مانند Registry Explorer برای پیمایش و تحلیل دستی و ابزارهای اسکریپت‌نویسی مانند RegRipper و KAPE برای تحلیل خودکار و استخراج Artifactهای کلیدی می‌شود. شما با نحوه ادغام این ابزارها در یک جریان کاری کارآمد آشنا خواهید شد.

بازسازی جدول زمانی

در نهایت، تمامی قطعات پازل باید کنار هم چیده شوند. این ماژول بر روی تکنیک‌های بازسازی جدول زمانی رویدادها (Timeline Reconstruction) با استفاده از داده‌های رجیستری و ترکیب آن‌ها با سایر منابع اطلاعاتی (مانند لاگ‌های سیستم، فایل‌های گزارش) تمرکز دارد تا یک تصویر جامع و کرونولوژیکال از حادثه ارائه شود.

گزارش‌نویسی و مستندسازی

هیچ تحقیقی بدون گزارش‌نویسی موثر کامل نیست. شما خواهید آموخت که چگونه یافته‌های پیچیده پزشکی قانونی خود را به صورت روشن، دقیق و قانع‌کننده در قالب یک گزارش حرفه‌ای مستند کنید که برای مخاطبان فنی و غیرفنی قابل درک باشد.