Windows

.rll-youtube-player .play{--wpr-bg-bd1aa17f-c994-4e84-9463-2bd4389552a1: url('https://8200university.co.il/wp-content/plugins/wp-rocket/assets/img/youtube.png');}

המדריך שלפניך סוקר את שלבי האתחול החל מקושחת ‎UEFI‎ ועד טעינת Windows Boot Manager.
הוא מסביר כיצד לנהל את מאגר ‎BCD‎ ולשחזר תצורה באמצעות ‎WinRE‎.
בהמשך תעמיק ב-Registry, ‎SAM‎ ו-lsass.exe כדי להבין הגנה על זהויות.
תבחן את שכבת ‎UAC‎, שירותים ו-Drivers והשפעתם על יציבות המערכת.
תתנסה ב-Task Manager לאבחון משאבים ובניתוח ‎Threads‎ ומתזמן.
לבסוף תראה כיצד ‎PowerShell‎, ‎Cmd‎ ו-.NET מאפשרים אוטומציה ואינטגרציה מתקדמת.
בכל פרק משולבים טיפים מעשיים לחיזוק אבטחה והקשחת מערכת, לצד דגשים ייחודיים למסלול גאמא סייבר.

.rll-youtube-player .play{--wpr-bg-bd1aa17f-c994-4e84-9463-2bd4389552a1: url('https://8200university.co.il/wp-content/plugins/wp-rocket/assets/img/youtube.png');}

מבוא והקדמה

מדריך זה מאחד נושאים קריטיים להבנת מערכת ‎‪Windows‬ ברמת עומק גבוהה.
הוא נבנה כמסלול למידה מדורג: תחילה שרשרת האתחול, בהמשך שכבות האבטחה הפנימיות, ולבסוף ניהול משאבי זמן-ריצה.
ההדרכה הזו היא משאב חיוני לכל מי שמתעניין במסלול גאמא סייבר.
הידע המוצג כאן מקיף, אך עם זאת פרקטי – כזה שניתן ליישם בשטח תוך אבחון ותיקון תקלות אמיתיות.

השלבים הראשונים בשרשרת האתחול

לאחר הפעלת המחשב, קושחת ‎‪UEFI‬ או ‎‪BIOS‬ מבצעת בדיקות חומרה בסיסיות.
אם הכול תקין, היא מעבירה שליטה למנהל האתחול הראשי ‎‪Windows Boot Manager‬, המאוחסן במחיצת ‎‪ESP‬ או ב־‎‪MBR‬ ישן.
מנהל זה טוען את מאגר ‎‪BCD‬ וקובע איזו מערכת תעלה, באיזו מחיצה, ובאילו פרמטרים.
אם מותקנת יותר ממערכת הפעלה אחת, יוצג תפריט בחירה למשתמש.
מעקב אחר כתובות ונתיבים בשלב זה קריטי, משום שכל טעות תיצור תקלה לפני טעינת הקרנל.

מאגר ‎‪BCD‬ וניהולו

‎‪BCD‬ – ‎‪Boot Configuration Data‬ – מחליף את ‎‪Boot.ini‬ המיושן ומספק מבנה נתונים חזק יותר.
עבודה עם ‎‪BCDEdit‬ מאפשרת ליצור רשומות חדשות, לערוך פרמטרים קיימים ולהפעיל מצבי איתור תקלות.
לדוגמה: ‎‪bcdedit /set {current} safeboot minimal‬ מכין את המערכת לאתחול הבא במצב בטוח.
בעת שיחזור, הפקודה ‎‪bootrec /fixboot‬ משחזרת את סקטור האתחול, ואילו ‎‪bcdboot‬ מעתיקה קבצי מערכת ומייצרת מחדש את המאגר.

תיקון כשלי אתחול באמצעות ‎‪WinRE‬

סביבת ‎‪WinRE‬ נטענת אוטומטית כש־‎‪Windows‬ מזהה שהעלייה נכשלה יותר מפעם אחת.
מתוכה ניתן להריץ ‎‪bootrec /rebuildbcd‬, לזהות התקנות קיימות, ולצרף אותן מחדש למאגר.
אם המחיצה הפעילה אינה מסומנת כ־‎C:‎, יש לקבוע אות כונן זמנית לפני הפקודות.
ידע זה מצוי בשימוש יומיומי על ידי אנשי יחידה 8200.

מנגנוני אבטחה פנימיים: ‎‪Registry‬, ‎‪SAM‬ ו־‎‪LSASS‬

‎‪Registry‬ הוא בסיס נתונים היררכי המחולק ל־‎Hives‎ המאחסנים הגדרות מערכת.
‎‪SAM‬ (‎‪Security Account Manager‬) שומר את פרטי הסיסמאות כמבנים מוצפנים בתוך ‎‪Registry‬.
תהליך ‎‪lsass.exe‬ מפעיל את ‎‪LSASS‬ ומייצר אסימוני גישה לאחר אימות זהויות.
פגיעה בתהליך זה משביתה כניסה למערכת ועלולה לאפשר שליפת סיסמאות מזיכרון.

‎‪UAC‬ – שכבת הגנה קריטית

‎‪UAC‬ – ‎‪User Account Control‬ – מציג תיבת אישור לפני ביצוע פעולה הדורשת הרשאות מנהל.
בכך הוא מגביל תוכנות זדוניות ופוגע משמעותית בשרשרת ההתקפה.
הגדרות ‎‪UAC‬ נשמרות אף הן במפתחות ‎‪Registry‬, וניתן לשנותן במדיניות קבוצה או בעזרת ‎‪reg.exe‬.

שירותים ודרייברים

שירות מערכת רץ ברקע ללא ממשק משתמש ומטופל באמצעות ‎‪Services.msc‬ או הפקודה ‎‪sc‬.
הדרייברים – ‎‪Drivers‬ – הם שכבת תווכה בין הקרנל לחומרה, ומיקום שגוי של גרסת ‎‪DLL‬ עלול לגרום למצב שנקרא ‎‪Driver Signature Enforcement‬.
עדכון דרייבר מאתר היצרן מפחית סיכוני תאימות ומחזק את האבטחה.
השילוב בין גרסת דרייבר לא נכונה לבין שינויי ‎‪BCD‬ עשוי להשבית אתחול, ולכן חשוב לוודא עקביות מערכתית.

ניהול משאבים בזמן ריצה

‎‪Task Manager‬ מספק מבט חי בזמן אמת על ‎CPU‎, זיכרון, ‎I/O‎ ורשת.
ערך ‎Commit Charge ‎ משקף זיכרון שהוקצה פוטנציאלית, בעוד ‎Working Set‎ הוא הזיכרון הפיזי שבשימוש כעת.
ה‎Page File‎ מאפשר ל‎RAM‎ “לפרוק” דפים דיסקרטיים לדיסק; קביעת גודל קטן מדי תגרום לקריסה תחת עומס.
תהליך שגוזל ‎Handles‎ ואינו משחרר אותם יוצר דליפה איטית – מומלץ לאבחן זאת עם ‎‪Process Explorer‬ או ‎‪Handle.exe‬.
לימוד החומר יסייע לך במהלך הכנה למיונים גאמא סייבר לקראת השלבים הבאים.

‎‪Threads‬, ‎‪Scheduler‬ ו־Priority

מתזמן ‎‪Windows‬ מחלק זמן מעבד בין ‎Threads‎ לפי רמת עדיפות.
שימוש מוגזם ב‎Threads‎ עלול ליצור קפיצות ‎Context Switch‎ ולהאט את היישום.
‎‪Analyze Wait Chain‬ מאפשר לבדוק אם ‎Thread‎ כלשהו תקוע בהמתנה למשאב נעול.
לשונית ‎Details‎ ב‎Task Manager‎ מאפשרת לשנות עדיפות ל‎High‎, ‎Below Normal‎ או ‎Realtime‎ – אך יש לנקוט במשנה זהירות.

‎‪Win API‬, ‎‪Cmd‬ ו־‎‪.NET Framework‬

‎‪Win API‬ מספק פונקציות ליבה ברמת ‎C‎ ללולאות הודעות, קלט/פלט ו-‎System Calls‎.
‎‪Cmd‬ משמש לאוטומציה פשוטה באמצעות קבצי ‎.bat‎, בעוד ‎‪PowerShell‬ מציע סקריפטיות עשירה מבוססת ‎Objects‎.
‎‪.NET Framework‬ מוסיף שכבת ‎CLR‎ עם ‎Garbage Collector‎, וטיפול ב־‎Exceptions‎ באמצעות ‎try-catch‎.
שילוב ‎P/Invoke‎ מאפשר לקרוא לפונקציה לא-מנוהלת כגון ‎ReadFile‎ מתוך קוד ‎C#‎.

‎‪DLL‬, ‎‪ntdll.dll‬ ו-Side-by-Side

קבצי ‎DLL‎ מאחסנים קוד משותף, ועלולים ליצור תופעת ‎DLL Hell‎ כאשר גרסאות מתנגשות.
‎Side-by-Side‎ Assemblies מאפשרים לבודד גרסאות באמצעות ‎Manifest‎ מקומי.
‎‪ntdll.dll‬ מכיל ‎System Calls‎ ליבתיים; תקלה בו מובילה לרוב למסך שגיאת ‎STOP‎ בשלב מוקדם.
‎Large Address Aware‎ ביישומי ‎32-bit‎ מאפשר שימוש עד 4 GB זיכרון במערכות ‎64-bit‎.

טיפים לאבטחת מערכת

ודא כי ‎Secure Boot‎ פעיל בקושחת ‎‪UEFI‬, וכך תמנע טעינת קוד לא-חתום בשלב האתחול.
השתמש ב‎BitLocker‎ להצפנת דיסקים, תוך שמירה על ‎TPM‎ מוגדר ומתואם עם ‎Active Directory‎ אם נדרש.
חסום שירותים מיותרים והפוך כתובות ‎Registry‎ קריטיות לקריאה-בלבד כשאפשר.
כללי הקשחה אלו יעילים בסביבות ארגוניות ואף במעבדות הדרכה לצורכי מחקר.

סיכום

מסע זה החל בפס הטעינה של מערכת ‎‪Windows‬ והסתיים בניהול משאבי זמן-ריצה וכלי פיתוח מתקדמים.
שליטה בשרשרת האתחול, הבנה של ‎Registry‎ ו-‎SAM‎, וניהול יעיל של ‎Threads‎ ו-‎Page File‎ מקנים יתרון תפעולי משמעותי.
מי שמיישם ידע זה בשטח מסוגל להחזיר מערכת לפעולה תוך דקות, לאתר דליפות זיכרון ולמנוע מתקפות המתחילות בשלבי בוט מוקדמים.
השקעת זמן בלימוד הכלים ‎‪BCDEdit‬, ‎sc‎, ‎reg‎, ‎Process Explorer‎ ו-‎PowerShell‎ תספק תהליך למידה רציף ומשתלם.