مصطلحات أنظمة التشغيل للسايبر سيكيورتي .أبدأ الآن

أنظمة التشغيل (Windows, Linux, macOS) هي قلب أي جهاز - وكل هجوم أو دفاع بيعدّي من هناك.
لو مش فاهم المصطلحات الأساسية، هتبقى تايه لما تيجي تحلل Logs أو تعمل Forensics أو حتى Threat Hunting.

البوست ده يشرّحلك المصطلحات اللي لازم تبقى عارفها، مع أوامر عملية تقدر تجربها بنفسك.

Kernel - قلب النظام ​

الـ Kernel هو الجزء المسئول عن التواصل بين البرامج والعتاد (CPU, RAM, Disk).
هو اللي بيرتب الوصول للذاكرة، وبيدّي الصلاحيات للعمليات، وبيشتغل على مستوى Privilege عالي.

أوامر تفحصية:

• على Linux: uname -r عشان تعرف نسخة الكيرنل، وdmesg لرسائل الكيرنل.
• على Windows: systeminfo وEvent Viewer للـ Kernel-Power events.

ليه مهم للـ SecOps؟ لأن أي rootkit أو kernel exploit بيحاول يتحكم في الـ Kernel، وده يعني اختراق كامل للجهاز.

---

Process - العمليات (Processes) ​

Process هو أي برنامج أو خدمة شغّال داخل النظام (متصفح، سيرفر ويب، service). كل عملية ليها PID وموارد.

أوامر:

• Linux: ps aux | grep <name>, top, htop
• Windows: tasklist, Get-Process في PowerShell

لماذا نهتم؟ لأن الـ Incident Response بيبدأ غالبًا من مراقبة Processes غريبة (مثال: process باسم غريب أو PID بيتصرف بطريقة غير طبيعية).

---

Thread - تفاصيل أصغر ​

Thread هو جزء أصغر من الـ Process، بيسمح بتنفيذ أعمال متوازية داخل نفس العملية.
في تحليل الأداء والهجمات اللي بتستغل race conditions أو deadlocks، فهم الـ Threads مهم جدًا.

أدوات: strace / gdb على Linux، وDebugging Tools أو Process Explorer على Windows.

---

Service / Daemon - شغالين في الخلفية ​

Service (Windows) أو Daemon (Linux) هما برامج تشتغل من غير تدخل المستخدم. مثال: خدمة الطباعة، خدمة الـ SSH، أو خدمة Windows Update.

أوامر:

• Linux: systemctl status sshd, service --status-all
• Windows: sc query, Get-Service

في الأمن: مهاجم ممكن يشغّل خدمة مزيفة أو يعدّل service startup type لعمل Persistence.

---

Registry (Windows) - مخزن إعدادات النظام ​

الـ Registry قاعدة بيانات داخلية في Windows بتحفظ إعدادات النظام والبرامج. كتير من الـ persistence techniques بتعتمد على تعديل مفاتيح Registry.

أوامر:

• افتح Regedit أو استخدم PowerShell:

Get-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run"

لو لقيت مفاتيح غريبة في Run أو RunOnce — ده مؤشر احتمالي لـ persistence.

---

File System - نظام ملفات الجهاز ​

نمط تنظيم الملفات (مثلاً NTFS في Windows، EXT4 في Linux). مهم تعرف الفروق لأن Forensics بتعتمد على timestamps، ACLs، وmetadata.

أوامر:

• Linux: ls -la, stat file.txt
• Windows: icacls C:\path لعرض الصلاحيات

في الحوادث: فحص ملفات الـ bin، logs، وملفات الـ temporary مهم جدًا.

---

Permissions - الصلاحيات (Read, Write, Execute) ​

الصلاحيات بتحدد مين يقدر يقرأ أو يكتب أو ينفّذ ملف. إعدادات خاطئة بتفتح طرق سهلة للمهاجمين (مثلاً تشغيل سكربت بصلاحيات عالية).

أمثلة:

• Linux: chmod, chown
• Windows: icacls, Security tab

---

User Account - الحسابات وأنواعها ​

الحساب ممكن يكون Local أو Domain. إدارة الحسابات والـ privileges أمر أساسي في الدفاع والتحقيق. نظام Active Directory بيتعامل مع ملايين الحسابات في الشركات - وتأمينه ضرورة.

أوامر AD:

• PowerShell (لو عندك RSAT):

Get-ADUser -Filter {Enabled -eq $true} -Properties LastLogonDate

---

Active Directory - إدارة الهوية في الشبكات الكبيرة ​

Active Directory نظام مركزي لإدارة المستخدمين والأجهزة، وبيكون هدف أساسي للمهاجمين (Credential Theft, Lateral Movement).

نقاط مهمة للـ IR:

• فحص حسابات admin المشبوهة
• فحص Group Policy changes
• تتبع Kerberos errors في الـ Event Viewer

---

Syslog (Linux/Unix) & Event Viewer (Windows) - سجلات الأحداث​

الـ logs هما اللي هيمدّوك بكل الأدلة.

• على Linux: /var/log/syslog, journalctl -xe
• على Windows: Event Viewer أو PowerShell:

Get-WinEvent -LogName Security -MaxEvents 50

نقطة مهمة: لازم تراقب الـ Logs مركزيًا (SIEM) علشان تقدر تعمل Correlation بين الأجهزة.

---

Patch / Update - التصليحات والتحديثات ​

ـ Patch مهم لسد ثغرات. عملية إدارة التحديثات (Patch Management) لازم تكون منظمة علشان تتجنب الثغرات المعروفة.

نصايح:

• طبّق تحديثات أمنية بشكل منتظم.
• اختبر التحديثات قبل توزيعها على الإنتاج.

---

Command Line (CLI) - واجهة الأوامر ​

CLI (PowerShell في Windows، Bash في Linux) أداة قاتلة للـ SecOps: سريعة، قابلة للأتمتة، ومفيدة في التحقيقات.

أوامر مفيدة للـ IR:

• netstat -tulpn (Linux) - لعرض الاتصالات المفتوحة
• Get-NetTCPConnection (PowerShell) - الاتصالات في ويندوز
• lsof -i - لبينين أي عمليات عاملة sockets

---

Task Scheduler / Cron Job - مهام مجدولة ​

الـ attackers بيستخدموا Cron أو Task Scheduler لعمل Persistence. دايمًا راجع المهام المجدولة وحدثات تشغيلها.

أوامر:

• Linux: crontab -l
• Windows: schtasks /query

---

Virtual Memory - الذاكرة الافتراضية ​

الـ Virtual Memory بيستخدم جزء من القرص كـ RAM. في Forensics، تحليل الـ swap/hiberfile ممكن يفك شفرات مهمة أو يكشف بيانات حساسة.

أدوات: Volatility framework لتحليل الذاكرة.

---

Boot Process - من التشغيل لحد النظام شغال ​

فهم الـ Boot Process (UEFI/BIOS → Bootloader → Kernel → init/systemd) مهم علشان تعرف أماكن ممكن يتم فيها Tampering (مثلاً Bootkits).

إزاي تبدأ تطبق الكلام ده عمليًا؟ خطوات سريعة للمبتدئين ​

1. ركّب Virtual Lab (VMs: Windows + Linux) وابدأ تجرب أوامر الفحص.
2. ثبّت أدوات: Sysinternals، Wireshark، Volatility، وELK/Graylog للـ logs.
3. اتعلم تقرأ الـ logs قبل ما تسرّع في اتخاذ قرار.
4. مارس سيناريوهات بسيطة: كشف process غريب، تتبع اتصال شبكة، فحص persistence عبر Registry أو Cron.

---

الخلاصة - ليه كل ده مهم فعلاً؟ ​

لو انت داخل في السايبر سيكيورتي، فهم أنظمة التشغيل مش رفاهية - ده الأساس لأي تحقيق، Incident Response، أو Threat Hunting.
كل Log أو ثغرة أو حركة مش طبيعية بتبدأ من النظام نفسه، وبدون فهم قوي لـ Kernel, Processes, Services, Registry, File System, Logs مش هتعرف تِحل أو تِمنع الهجمات بفاعلية.