روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  چند سالی است که از انتشار ویندوز ۱۱ می‌گذرد، اما هنوز میزان استفاده از آن در سازمان‌ها پایین است. بر اساس آمارهای تیم پاسخ اضطراری جهانی ما (GERT)، تا اوایل سال ۲۰۲۵، سیستم‌عامل ویندوز ۷ که از سال ۲۰۲۰ پشتیبانی رسمی آن پایان یافته، تنها کمی کمتر از ویندوز ۱۱ در محیط‌های سازمانی دیده می‌شد. بیشتر سیستم‌ها همچنان از ویندوز ۱۰ استفاده می‌کنند. ویندوز ۱۰، که بیش از یک دهه از انتشار آن می‌گذرد، تا ۱۴ اکتبر ۲۰۲۵ به طور رسمی پشتیبانی خواهد شد. این موضوع به معنای آن است که در آینده نزدیک، در جریان پاسخ‌گویی به حوادث سایبری، با سیستم‌های بیشتری مواجه خواهیم شد که بر پایه ویندوز ۱۱ کار می‌کنند. به همین دلیل، تصمیم گرفتیم نگاهی اجمالی به تغییرات مهم در آثار فارنزیکی این سیستم‌عامل بیندازیم؛ اطلاعاتی که می‌تواند برای همکاران ما در حوزه پاسخ به رخدادها مفید باشد.

مطالب این بخش بر اساس نسخه‌ی Windows 11 24H2 نوشته شده است که در زمان نگارش این مقاله، آخرین نسخه‌ی منتشرشده به شمار می‌رود. با ما همراه باشید.

ویژگی جدید: ریکال

قابلیت «ریکال» برای نخستین‌بار در مه ۲۰۲۴ معرفی شد. این ویژگی به رایانه اجازه می‌دهد تا فعالیت‌های کاربر را در چند ماه اخیر به خاطر بسپارد. ریکال با گرفتن تصویر از کل صفحه‌نمایش در بازه‌های چند ثانیه‌ای و تحلیل آن‌ها توسط هوش مصنوعی داخلی، اطلاعات مفید را استخراج کرده و در یک پایگاه داده ذخیره می‌کند. سپس این داده‌ها برای جست‌وجوهای هوشمند قابل استفاده هستند. از مه ۲۰۲۵، این قابلیت به صورت گسترده در رایانه‌هایی که دارای تراشه‌ی مخصوص پردازش هوش مصنوعی (NPU) هستند فعال شده است؛ تراشه‌ای که فعلاً تنها روی پردازنده‌های ARM پشتیبانی می‌شود. قابلیت ریکال یکی از بحث‌برانگیزترین و پر سر و صداترین ویژگی‌های ویندوز ۱۱ به شمار می‌آید. از زمان معرفی اولیه، کارشناسان امنیتی نسبت به تهدیدهای بالقوه‌ی آن برای حریم خصوصی هشدار داده‌اند. مایکروسافت پیش از عرضه‌ی عمومی، تغییراتی برای بهبود امنیت ریکال اعمال کرد، اما نگرانی‌ها همچنان باقی است. به همین دلیل، این ویژگی به طور پیش‌فرض در نسخه‌های سازمانی ویندوز ۱۱ غیرفعال است. با این حال، بررسی آثار و فایل‌های مربوط به آن اهمیت دارد، زیرا ممکن است مهاجمان یا بدافزارها آن را به صورت مخفیانه فعال کنند. در تئوری، بخش فناوری اطلاعات سازمان‌ها می‌تواند ریکال را از طریق سیاست‌های گروهی فعال کند، هرچند احتمالش بسیار کم است.

محل ذخیره‌ی داده‌های ریکال

ریکال برای هر کاربر به صورت جداگانه فعال می‌شود. این داده‌ها به طور موقت در مسیر زیر ذخیره می‌شوند:
AppData\Local\CoreAIPlatform.00\UKP{GUID}\ImageStore\

در این مسیر، فایل‌های تصویری با فرمتJPEG قرار دارند و نام فایل‌ها شناسه‌ی هر تصویر محسوب می‌شود. افزون بر این، اطلاعات متادیتا در تگ مخصوص تصویر ذخیره می‌شود که شامل موارد زیر است:

•          موقعیت پنجره‌ی فعال در زمان ثبت تصویر
•          زمان دقیق ثبت تصویر
•          عنوان پنجره و شناسه‌ی آن
•          مسیر کامل برنامه‌ای که پنجره را ایجاد کرده
•          در صورت فعال بودن مرورگر، آدرس وب‌سایت و دامنه

فعال یا غیرفعال بودن این قابلیت در رجیستری کاربر مشخص می‌شود. کلید مربوط به آن در مسیر Software\Policies\Microsoft\Windows\WindowsAI  قرار دارد. مایکروسافت در نسخه‌های جدید ویندوز ۱۱، چند کلید تازه نیز برای مدیریت ریکال معرفی کرده است.

فیلتر اطلاعات حساس

پس از واکنش‌های منفی عمومی، نسخه‌ی نهایی ریکال شامل فیلتری می‌شود که از ذخیره‌ی تصاویر یا متن‌های حاوی اطلاعات حساس جلوگیری می‌کند. این اطلاعات می‌تواند شامل پنجره‌های مرورگر در حالت ناشناس، فیلدهای وارد کردن اطلاعات پرداخت یا پسورد منیجر شود. با این حال، پژوهشگران امنیتی گزارش داده‌اند که این فیلتر همیشه به درستی عمل نمی‌کند.

پایگاه داده و ذخیره‌سازی اطلاعات

برای جست‌وجوی سریع میان داده‌های ثبت‌شده از تصاویر، سیستم از دو پایگاه داده‌ی برداری استفاده می‌کند: SemanticTextStore.sidb و SemanticImageStore.sidb. با این حال، پایگاه داده‌ی اصلی و قابل بررسی‌تر، فایل ukg.db است که در همان مسیر قرار دارد:
AppData\Local\CoreAIPlatform.00\UKP{GUID}\ukg.db

این پایگاه داده شامل ۲۰ جدول است. در آخرین نسخه، بدون نیاز به دسترسی مدیر سیستم قابل مشاهده است، اما به صورت رمزگذاری‌شده ذخیره می‌شود و در حال حاضر هیچ روش عمومی برای رمزگشایی مستقیم آن وجود ندارد. بنابراین، در این بررسی به نسخه‌ی آزمایشی سال ۲۰۲۴ می‌پردازیم که در آن ساختار جداول مشخص‌تر بود.

ساختار جداول مهم

جدول App شامل داده‌های مربوط به فرآیندی است که پنجره‌ی رابط کاربری را ایجاد کرده است.

جدول AppDwellTime اطلاعاتی از جمله مسیر کامل برنامه، زمان اجرای آن، مدت‌زمان نمایش پنجره و جزئیات زمانی مرتبط را نگهداری می‌کند.

جدول WindowCapture رویدادهای مختلف مربوط به پنجره‌ها را ثبت می‌کند:

•          WindowCreatedEvent برای ایجاد اولین نمونه از پنجره
•          WindowChangedEvent برای تغییر مکان یا اندازه‌ی پنجره
•          WindowCaptureEvent برای ثبت تصویر از صفحه شامل آن پنجره
•          WindowDestroyedEvent برای بستن پنجره

همچنین، در این جدول پرچمی برای مشخص کردن فعال بودن پنجره در پیش‌زمینه وجود دارد، همراه با مختصات پنجره، عنوان آن و زمان ثبت رویداد.

جدول WindowCaptureTextIndex_content شامل متون استخراج‌شده از تصاویر توسط فناوری تشخیص متن می‌شود. این جدول داده‌هایی مانند متن شناسایی‌شده، عنوان پنجره، مسیر برنامه، زمان ثبت تصویر و شناسه‌ی آن را ذخیره می‌کند. از طریق شناسه‌ها می‌توان این جدول را با سایر جداول مرتبط ترکیب کرد تا ارتباط میان تصاویر و فرآیندها مشخص شود.

اهمیت آثار ریکال در فارنزیک (کالبدشکافی دیجیتال)

در صورتی که ویژگی ریکال پیش از وقوع حادثه فعال بوده باشد، داده‌های آن برای تحلیل‌گران فارنزیک بسیار ارزشمند است. این اطلاعات می‌تواند بازسازی دقیقی از فعالیت‌های مهاجم در سیستم ارائه دهد. با این حال، همین قابلیت می‌تواند مورد سوءاستفاده نیز قرار گیرد، زیرا فیلتر اطلاعات حساس همیشه به درستی عمل نمی‌کند و مهاجمان ممکن است از آن برای یافتن رمزها یا داده‌های خصوصی استفاده کنند.

یادداشت‌برداری در نوت‌پد و آثار جدید آن در ویندوز ۱۱

در تنظیمات نوت‌پد، امکان غیرفعال کردن ذخیره‌سازی برگه‌ها وجود دارد. اگر این گزینه غیرفعال باشد، آثار مربوط به TabState و WindowState برای تحلیل در دسترس نخواهند بود. در صورتی که این آثار فعال باشند، می‌توان از ابزار notepad_parser که توسط یکی از همکاران ما، عبدالرحمن الفیفی، توسعه داده شده استفاده کرد تا پردازش و تحلیل این فایل‌ها به صورت خودکار انجام شود. این آثار می‌توانند در بازیابی محتوای اسکریپت‌ها و فایل‌های اجرایی مخرب مفید باشند. همچنین ممکن است شامل گزارش‌ها و خروجی ابزارهایی مانند اسکنرهای شبکه، برنامه‌های استخراج گذرواژه و سایر فایل‌های اجرایی مورد استفاده مهاجمان باشند، به‌ویژه اگر تغییراتی ذخیره‌نشده در آن‌ها باقی مانده باشد.

تغییر در آثار شناخته‌شده در ویندوز ۱۱

علاوه بر آثار جدید، ویندوز ۱۱ تغییراتی را در آثار پیشین نیز ایجاد کرده که آگاهی از آن‌ها برای تحلیل‌گران حوادث ضروری است.

تغییر در رفتار ویژگی‌های فایل‌سیستم NTFS 
رفتار ویژگی‌های NTFS بین ویندوز ۱۰ و ویندوز ۱۱ در دو ساختار اصلی یعنی STANDARD_INFORMATION و FILE_NAME دچار تغییر شده است.در ویندوز ۱۰، زمان آخرین دسترسی به فایل فقط در برخی شرایط خاص به‌روزرسانی می‌شد، اما در ویندوز ۱۱ نسخه 24H2، این زمان تقریباً در همه عملیات‌ها از جمله دسترسی، تغییر نام، کپی یا جابجایی فایل، به‌روزرسانی شده و به زمان انجام آن عملیات هماهنگ می‌شود. در نتیجه، در بررسی‌های فارنزیکی باید توجه داشت که در ویندوز ۱۱، زمان دسترسی به فایل دیگر به‌سادگی قابل استناد به معنای "باز شدن واقعی فایل" نیست، زیرا جابجایی یا تغییر نام نیز می‌تواند باعث تغییر این مقدار شود.

در مورد ویژگی FILE_NAME نیز رفتار متفاوتی دیده می‌شود. در ویندوز ۱۰، تغییر نام یا جابجایی فایل اثری بر متادیتا و زمان‌های ثبت‌شده نداشت. اما در ویندوز ۱۱ نسخه 24H2، زمان‌های دسترسی و تغییر فایل از ساختار STANDARD_INFORMATION قبلی به ارث برده می‌شوند. این تغییر باعث می‌شود که تحلیل‌گران در تفسیر زمان‌های مرتبط با فعالیت فایل‌ها دقت بیشتری داشته باشند، زیرا رفتار سیستم در این زمینه تغییر کرده است.

دستیار سازگاری برنامه‌ها(PCA)

«دستیار سازگاری برنامه‌ها» برای نخستین بار در ویندوز ویستا معرفی شد. هدف از آن اجرای نرم‌افزارهایی بود که برای نسخه‌های قدیمی‌تر ویندوز طراحی شده بودند. این بخش از سیستم، همواره به عنوان یکی از منابع ارزشمند برای شناسایی شواهد اجرای برنامه‌ها محسوب می‌شود.

در ویندوز ۱۱، فایل‌های جدیدی به این بخش افزوده شده‌اند که برای تحلیل‌گران اهمیت زیادی دارند. این فایل‌ها در مسیر زیر قرار دارند:

C:\Windows\appcompat\pca\

سه فایل اصلی در این بخش وجود دارد:

1.      PcaAppLaunchDic.txt شامل اطلاعات مربوط به آخرین اجرای هر فایل اجرایی است. در هر خط، زمان اجرای آخر (به‌صورت تاریخ و ساعت جهانی) و مسیر کامل فایل ثبت می‌شود. این مقادیر با علامت جداکننده مشخص شده‌اند. با اجرای مجدد فایل، داده‌ی موجود در همان خط به‌روزرسانی می‌شود. توجه به این نکته مهم است که این فایل از کدگذاری ANSI استفاده می‌کند، بنابراین در صورت وجود نام فایل‌هایی با حروف یونیکد، ثبت داده‌ها ممکن است دچار مشکل شود.
2.      PcaGeneralDb0.txtو PcaGeneralDb1.txt به صورت چرخشی در ثبت داده‌ها استفاده می‌شوند. زمانی که اندازه یکی از آن‌ها به دو مگابایت برسد، فایل دوم جایگزین آن شده و فرآیند ثبت ادامه پیدا می‌کند. داده‌ها در این فایل‌ها با علامت جداکننده از هم تفکیک می‌شوند و شامل اطلاعاتی همچون زمان اجرای فایل، نوع رخداد (مانند خطای نصب، انسداد درایور، خروج غیرعادی فرآیند یا اجرای سازگارکننده برنامه)، مسیر فایل اجرایی، نام محصول، شرکت سازنده، نسخه محصول، شناسه برنامه و پیام مربوطه هستند.

این فایل‌ها فقط داده‌های مربوط به اجرای برنامه‌ها از طریق مرورگر فایل ویندوز را ثبت می‌کنند و اجرای فایل‌ها از طریق خط فرمان در آن‌ها ثبت نمی‌شود.

جست‌وجوی ویندوز

جست‌وجوی ویندوز یکی از اجزای اصلی سیستم‌عامل است که برای فهرست‌بندی و جست‌وجوی سریع فایل‌ها استفاده می‌شود. در نسخه‌های پیشین تا ویندوز ۱۰، این اطلاعات در قالب یک پایگاه داده ESE با نام Windows.edb ذخیره می‌شد.

اما در ویندوز ۱۱، ساختار این داده‌ها تغییر کرده و اکنون در قالب سه پایگاه داده SQLite ذخیره می‌شوند که در مسیر زیر قرار دارند:

%PROGRAMDATA%\Microsoft\Search\Data\Applications\Windows\

پایگاه داده نخست، Windows-gather.db، شامل اطلاعات کلی فایل‌ها و پوشه‌های فهرست‌شده است. جدول اصلی آن SystemIndex_Gthr نام دارد که داده‌هایی مانند نام فایل، زمان آخرین تغییر، شناسه پوشه والد و شناسه منحصربه‌فرد فایل را نگهداری می‌کند. از طریق جدول SystemIndex_GthrPth می‌توان مسیر کامل هر فایل را در سیستم بازسازی کرد.

پایگاه داده دوم، Windows.db، اطلاعات مربوط به متادیتای فایل‌های فهرست‌شده را ذخیره می‌کند. جدول SystemIndex_1_PropertyStore در این فایل شامل شناسه منحصربه‌فرد فایل، نوع متادیتا و مقدار آن است. جدول دیگر در همین فایل، SystemIndex_1_PropertyStore_Metadata، توضیحات مربوط به انواع متادیتا را در خود دارد و به تحلیل‌گران کمک می‌کند تا مقادیر ذخیره‌شده را تفسیر کنند.

پایگاه داده سوم، Windows-usn.db، اطلاعات مفیدی برای تحلیل فارنزیکی در بر ندارد.

تحلیل Windows-gather.db می‌تواند شواهد مهمی از وجود فایل‌هایی مانند بدافزارها، فایل‌های پیکربندی یا داده‌های باقی‌مانده از مهاجمان ارائه دهد. ستون زمان آخرین تغییر در این پایگاه داده با قالب زمانی FILETIME  ذخیره می‌شود که مقدار آن تعداد واحدهای صد نانوثانیه از ابتدای ژانویه ۱۶۰۱ است. این مقدار را می‌توان با ابزارهایی مانند DCode به زمان قابل‌خواندن انسانی تبدیل کرد.

سایر تغییرات جزئی در ویندوز ۱۱

علاوه بر تغییرات اصلی، چند تغییر کوچک اما مهم نیز در ویندوز ۱۱ دیده می‌شود:

•          پشتیبانی کامل از NTLMv1 حذف شده است، که این موضوع می‌تواند به تدریج به کاهش حملات مبتنی بر پاس-د-هش[1] منجر شود.
•          قابلیت Timeline که در ویندوز ۱۰ برای نمایش فعالیت‌های کاربر وجود داشت، دیگر به‌روزرسانی نمی‌شود، اما پایگاه داده مربوط به آن همچنان در مسیر فعالیت‌های کاربر باقی مانده است.
•          کورتانا و اینترنت اکسپلورر به طور رسمی حذف شده‌اند، اما آثار مربوط به آن‌ها هنوز در سیستم یافت می‌شود، به‌ویژه در دستگاه‌هایی که از ویندوز ۱۰ به نسخه جدید ارتقا یافته‌اند.
•          در رخداد ۴۶۲۴ که ورود موفق کاربران را ثبت می‌کند، تغییر کوچکی در نسخه حرفه‌ای ویندوز ۱۱ (22H2) ایجاد شده و فیلدی با نام Remote Credential Guard افزوده شده است. هرچند هنوز تأثیر عملی این تغییر در تحلیل‌ها مشخص نیست، اما نشان‌دهنده‌ی تلاش مایکروسافت برای بهبود ثبت داده‌های مربوط به احراز هویت است.
•          پشتیبانی از فایل‌سیستم ReFS نیز گسترش یافته است. اکنون می‌توان ویندوز ۱۱ را مستقیماً روی پارتیشن‌های ReFS نصب کرد و این فایل‌سیستم با BitLocker نیز سازگار شده است. ReFS تفاوت‌های مهمی با NTFS دارد: فاقد جدول اصلی فایل‌هاست، نام کوتاه تولید نمی‌کند، از لینک سخت و ویژگی‌های توسعه‌یافته پشتیبانی نمی‌کند و حجم پشتیبانی‌شده در آن بسیار بیشتر است.

جمع‌بندی
در این مقاله، نگاهی کلی به تغییرات کلیدی آثار فارنزیکی در ویندوز ۱۱ داشتیم. مهم‌ترین نکات شامل تغییر در رفتار ویژگی‌هایNTFS، افزوده‌شدن فایل‌های جدید مرتبط با دستیار سازگاری برنامه‌ها و ساختار تازه جست‌وجوی ویندوز بود. با وجود این‌که کاربرد عملی برخی از این آثار در تحقیقات هنوز به طور کامل مشخص نشده، پیشنهاد می‌شود فایل‌ها و مسیرهای یادشده در فرآیند جمع‌آوری شواهد و ابزارهای تریاژ لحاظ شوند.

[1] Pass-the-Hash، یک نوع حمله‌ی سایبری است که مهاجم به جای اینکه پسورد یک حساب کاربری را بدست آورد، هَش رمز عبور را مستقیماً استفاده می‌کند تا وارد سیستم شود.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.