Windows Basics: সাইবার নিরাপত্তা বিশ্লেষকদের জন্য উইন্ডোজ অপারেটিং সিস্টেমের অভ্যন্তরীণ আর্কিটেকচার এবং কমান্ড লাইনের গুরুত্বপূর্ণ ব্যবহার!

Windows অপারেটিং সিস্টেম একটি স্তরভিত্তিক আর্কিটেকচারে নির্মিত, যেখানে প্রতিটি স্তরের নির্দিষ্ট দায়িত্ব এবং বিশেষাধিকার রয়েছে। সর্বনিম্ন স্তরে রয়েছে Hardware Abstraction Layer (HAL), যা অপারেটিং সিস্টেমকে বিভিন্ন হার্ডওয়্যার প্ল্যাটফর্মের পার্থক্য থেকে আলাদা করে রাখে। এর উপরে রয়েছে Windows Kernel (NT Kernel), যা মেমরি ব্যবস্থাপনা, প্রসেস শিডিউলিং এবং সিস্টেম কলগুলো পরিচালনা করে।

কার্নেলের উপরে রয়েছে Executive Services, যেখানে Object Manager, Process Manager, I/O Manager এবং Security Reference Monitor-এর মতো গুরুত্বপূর্ণ উপাদান রয়েছে। এই স্তরের উপরেই ব্যবহারকারীদের পরিচিত User Mode অ্যাপ্লিকেশনগুলো চলে। User Mode এবং Kernel Mode-এর মধ্যে এই বিভাজনই Windows নিরাপত্তার মূল ভিত্তি — কোনো অ্যাপ্লিকেশন সরাসরি হার্ডওয়্যারে প্রবেশ করতে পারে না, প্রতিটি অনুরোধ কার্নেলের মাধ্যমে যেতে হয়।

প্রতিটি প্রসেস একটি নিজস্ব ভার্চুয়াল মেমরি স্পেসে চলে, যা সাধারণত ৬৪-বিট সিস্টেমে ১২৮ টেরাবাইট পর্যন্ত হতে পারে। এই Memory Isolation নিশ্চিত করে যে একটি প্রসেস অন্য প্রসেসের মেমরিতে সরাসরি প্রবেশ করতে পারে না, যা ম্যালওয়্যার প্রতিরোধের একটি গুরুত্বপূর্ণ পদক্ষেপ।

Windows-এ একটি Process হলো একটি চলমান প্রোগ্রামের উদাহরণ, যার নিজস্ব ভার্চুয়াল ঠিকানা স্পেস, ফাইল হ্যান্ডেল এবং সিকিউরিটি কনটেক্সট রয়েছে। প্রতিটি প্রসেসের অন্তত একটি Thread থাকে, যা প্রকৃত নির্দেশনা সম্পাদন করে। আধুনিক Windows সিস্টেমে শত শত প্রসেস একসাথে চলে — Task Manager খুললে আপনি svchost.exe, explorer.exe, lsass.exe এবং অন্যান্য সিস্টেম প্রসেসের একটি দীর্ঘ তালিকা দেখতে পাবেন।

সিকিউরিটি বিশ্লেষকদের জন্য lsass.exe (Local Security Authority Subsystem Service) বিশেষভাবে গুরুত্বপূর্ণ। এই প্রসেসটি ব্যবহারকারীদের পাসওয়ার্ড হ্যাশ মেমরিতে সংরক্ষণ করে, এবং Mimikatz-এর মতো সরঞ্জাম ব্যবহার করে আক্রমণকারীরা এই হ্যাশগুলো এক্সট্র্যাক্ট করার চেষ্টা করে। তাই lsass.exe-এর অস্বাভাবিক আচরণ যেকোনো EDR সিস্টেমে অগ্রাধিকার ভিত্তিতে পর্যবেক্ষণ করা হয়।

svchost.exe হলো আরেকটি গুরুত্বপূর্ণ প্রসেস যা Windows Services হোস্ট করে। একটি সিস্টেমে একাধিক svchost.exe প্রসেস চলতে পারে, প্রতিটি বিভিন্ন সার্ভিস গ্রুপ পরিচালনা করে। ম্যালওয়্যার লেখকরা প্রায়ই তাদের প্রসেসের নাম svchost.exe রাখে যাতে সাধারণ ব্যবহারকারী সেটিকে বৈধ সিস্টেম প্রসেস ভেবে ভুল করেন।

Windows Registry হলো একটি বিশাল হায়ারার্কিক্যাল ডাটাবেস যেখানে অপারেটিং সিস্টেম এবং ইনস্টল করা সফটওয়্যারের সকল কনফিগারেশন সংরক্ষিত থাকে। Registry-কে পাঁচটি প্রধান Hive-এ ভাগ করা হয়েছে: HKEY_LOCAL_MACHINE, HKEY_CURRENT_USER, HKEY_USERS, HKEY_CLASSES_ROOT, এবং HKEY_CURRENT_CONFIG।

নিরাপত্তা পেশাজীবীদের কাছে Registry অত্যন্ত গুরুত্বপূর্ণ কারণ ম্যালওয়্যার প্রায়ই Persistence Mechanism হিসেবে Registry ব্যবহার করে। HKLM\Software\Microsoft\Windows\CurrentVersion\Run এবং HKCU\Software\Microsoft\Windows\CurrentVersion\Run কী-গুলো সিস্টেম বুট হওয়ার সাথে সাথে কোন কোন প্রোগ্রাম চালু হবে তা নির্ধারণ করে। এই কারণে এই কী-গুলো ম্যালওয়্যার তদন্তের প্রথম পরিদর্শন বিন্দু।

regedit.exe হলো Registry সম্পাদনার GUI সরঞ্জাম, এবং কমান্ড লাইনে reg.exe ব্যবহার করা যায়। যেকোনো পরিবর্তনের আগে Registry-এর ব্যাকআপ নেওয়া উচিত কারণ একটি ভুল পরিবর্তন সিস্টেমকে বুট হতে অক্ষম করে দিতে পারে।

Windows-এ দুটি প্রধান কমান্ড লাইন ইন্টারফেস রয়েছে: ঐতিহ্যবাহী Command Prompt (cmd.exe) এবং আধুনিক PowerShell। সাইবার নিরাপত্তা বিশ্লেষকদের জন্য উভয়েরই দক্ষতা প্রয়োজন, কারণ আক্রমণকারীরা এই দুটি সরঞ্জামই কাজে লাগায়।

Command Prompt-এর মাধ্যমে আপনি বুনিয়াদি কাজ যেমন ফাইল ম্যানেজমেন্ট (dir, copy, move), নেটওয়ার্ক ডায়াগনস্টিকস (ipconfig, ping, tracert, netstat), এবং সিস্টেম তথ্য (systeminfo, tasklist, taskkill) পেতে পারেন। netstat -ano কমান্ডটি বিশেষভাবে গুরুত্বপূর্ণ — এটি সকল সক্রিয় নেটওয়ার্ক কানেকশন এবং সংশ্লিষ্ট প্রসেস আইডি দেখায়, যা সন্দেহজনক ব্যাকডোর শনাক্ত করতে সাহায্য করে।

PowerShell হলো একটি বস্তু-ভিত্তিক স্ক্রিপ্টিং পরিবেশ যা .NET Framework-এর উপর নির্মিত। এটি কেবল কমান্ড নয়, সম্পূর্ণ বস্তু (objects) প্রক্রিয়া করে। উদাহরণস্বরূপ, Get-Process | Where-Object {$_.CPU -gt 100} কমান্ডটি সেই প্রসেসগুলো ফিল্টার করে যেগুলো ১০০ সেকেন্ডের বেশি CPU সময় ব্যবহার করেছে।

দুর্ভাগ্যবশত, PowerShell-এর শক্তি আক্রমণকারীদের কাছেও আকর্ষণীয়। PowerShell Empire, Cobalt Strike এবং অসংখ্য APT গ্রুপ PowerShell ভিত্তিক ম্যালওয়্যার ব্যবহার করে কারণ এটি ডিফল্টভাবে ইনস্টল থাকে এবং অ্যান্টিভাইরাস ফাঁকি দেওয়া সহজ। তাই Microsoft PowerShell 5.0 থেকে Script Block Logging, Module Logging এবং Constrained Language Mode-এর মতো নিরাপত্তা বৈশিষ্ট্য চালু করেছে।

Windows-এর প্রাথমিক ফাইল সিস্টেম হলো NTFS (New Technology File System), যা FAT32 এবং exFAT-এর তুলনায় অনেক উন্নত নিরাপত্তা বৈশিষ্ট্য প্রদান করে। NTFS-এ প্রতিটি ফাইল এবং ফোল্ডারের জন্য Access Control List (ACL) রয়েছে, যা নির্ধারণ করে কোন ব্যবহারকারী বা গ্রুপ কী ধরনের অ্যাক্সেস পাবে।

NTFS-এর একটি কৌতূহলোদ্দীপক বৈশিষ্ট্য হলো Alternate Data Streams (ADS), যা একটি ফাইলে অতিরিক্ত ডেটা স্ট্রিম সংযুক্ত করার সুযোগ দেয়। আক্রমণকারীরা প্রায়ই ADS ব্যবহার করে ম্যালিশিয়াস কোড লুকিয়ে রাখে কারণ সাধারণ ডিরেক্টরি ব্রাউজিংয়ে এই স্ট্রিমগুলো দৃশ্যমান হয় না। dir /r কমান্ড দিয়ে ADS দেখা যায়।

NTFS Permissions ছয়টি মৌলিক স্তরে বিভক্ত: Full Control, Modify, Read & Execute, List Folder Contents, Read এবং Write। এন্টারপ্রাইজ পরিবেশে এই অনুমতিগুলো সঠিকভাবে কনফিগার করা Least Privilege Principle অনুসরণের চাবিকাঠি।

Windows-এ ব্যবহারকারী অ্যাকাউন্ট দুটি প্রধান ধরনের: Local Accounts এবং Domain Accounts। Local Accounts শুধু একটি নির্দিষ্ট কম্পিউটারে কাজ করে, যেখানে Domain Accounts Active Directory-এর মাধ্যমে কেন্দ্রীয়ভাবে পরিচালিত হয় এবং সম্পূর্ণ এন্টারপ্রাইজ জুড়ে অ্যাক্সেস প্রদান করে।

প্রতিটি অ্যাকাউন্টের একটি Security Identifier (SID) থাকে — একটি অনন্য স্ট্রিং যা ব্যবহারকারী, গ্রুপ বা কম্পিউটারকে চিহ্নিত করে। উদাহরণস্বরূপ, S-1-5-21-XXX-500 হলো ডিফল্ট Administrator অ্যাকাউন্টের SID। উচ্চ-বিশেষাধিকার গ্রুপগুলোর মধ্যে রয়েছে Administrators, Domain Admins, Enterprise Admins এবং Schema Admins। এই গ্রুপগুলোর সদস্যপদ সংবেদনশীলভাবে পর্যবেক্ষণ করা উচিত।

User Account Control (UAC) হলো Vista থেকে Windows-এ চালু হওয়া একটি গুরুত্বপূর্ণ নিরাপত্তা বৈশিষ্ট্য। এমনকি একজন প্রশাসকও সাধারণত স্ট্যান্ডার্ড টোকেন দিয়ে অ্যাপ্লিকেশন চালান, এবং উচ্চ-বিশেষাধিকারের প্রয়োজন হলে UAC প্রম্পট প্রদর্শিত হয়।

Services হলো ব্যাকগ্রাউন্ডে চলমান প্রোগ্রাম যা ব্যবহারকারীর লগইন ছাড়াই কাজ করে। services.msc কনসোলে আপনি সকল ইনস্টলড সার্ভিস দেখতে পাবেন। প্রতিটি সার্ভিসের একটি Startup Type রয়েছে (Automatic, Manual, Disabled) এবং একটি Service Account-এর অধীনে চলে।

ম্যালওয়্যার প্রায়ই নিজেদেরকে একটি Service হিসেবে ইনস্টল করে স্থায়িত্ব অর্জন করে। sc.exe কমান্ড লাইন সরঞ্জাম দিয়ে সার্ভিস তৈরি, পরীক্ষা এবং পরিচালনা করা যায়। সন্দেহজনক সার্ভিসের জন্য sc qc <service_name> কমান্ড ব্যবহার করে কনফিগারেশন পরীক্ষা করা উচিত।

Scheduled Tasks হলো নির্দিষ্ট সময়ে বা ঘটনায় চালু হওয়া প্রোগ্রাম। schtasks.exe বা Task Scheduler GUI দিয়ে এগুলো পরিচালনা করা হয়। APT গ্রুপগুলো প্রায়ই Scheduled Tasks ব্যবহার করে স্থায়িত্ব বজায় রাখে এবং নির্দিষ্ট সময়ে পেলোড নামিয়ে আনে।

Windows Event Viewer (eventvwr.msc) হলো সাইবার নিরাপত্তা তদন্তের অন্যতম মূল্যবান উৎস। এটি সিস্টেম, অ্যাপ্লিকেশন, নিরাপত্তা এবং অন্যান্য বিভিন্ন বিভাগে ইভেন্ট সংরক্ষণ করে।

Security Log-এর কিছু গুরুত্বপূর্ণ Event ID:

• 4624: সফল লগইন
• 4625: ব্যর্থ লগইন
• 4672: বিশেষাধিকার নিয়ে লগইন
• 4688: নতুন প্রসেস তৈরি
• 4720: নতুন ব্যবহারকারী অ্যাকাউন্ট তৈরি
• 7045: নতুন সার্ভিস ইনস্টল

এই ইভেন্টগুলো SIEM সিস্টেমে পাঠিয়ে correlation rules তৈরি করে সন্দেহজনক কার্যকলাপ স্বয়ংক্রিয়ভাবে শনাক্ত করা যায়।

ধরা যাক আপনি Task Manager-এ "winupdate.exe" নামক একটি প্রসেস দেখলেন যা ৯৫% CPU ব্যবহার করছে। সাইবার নিরাপত্তা বিশ্লেষক হিসেবে আপনি কীভাবে এগোবেন?

প্রথমে tasklist /svc কমান্ড দিয়ে প্রসেসটির বিস্তারিত দেখুন। তারপর wmic process where name="winupdate.exe" get ProcessId,ExecutablePath ব্যবহার করে এর প্রকৃত অবস্থান বের করুন। বৈধ Windows Update প্রসেস C:\Windows\System32-এ থাকে; যদি এটি অন্য কোথাও থাকে, এটি সন্দেহজনক।

এরপর netstat -ano | findstr <PID> দিয়ে দেখুন প্রসেসটি কোন নেটওয়ার্ক কানেকশন তৈরি করছে। অপরিচিত IP বা উচ্চ পোর্টে আউটবাউন্ড কানেকশন C2 কমিউনিকেশনের ইঙ্গিত হতে পারে। শেষ পর্যন্ত VirusTotal-এ ফাইলের হ্যাশ আপলোড করে যাচাই করা উচিত।

Windows সিস্টেমের নিরাপত্তা বজায় রাখতে নিচের পদক্ষেপগুলো অপরিহার্য:

প্রথমত, নিয়মিত Windows Update প্রয়োগ করুন। অধিকাংশ র‍্যানসমওয়্যার আক্রমণ পুরনো প্যাচ না করা সিস্টেমে সফল হয়।

দ্বিতীয়ত, Windows Defender অথবা একটি বিশ্বস্ত EDR সমাধান সক্রিয় রাখুন। আধুনিক Defender আশ্চর্যজনকভাবে কার্যকর এবং বিনামূল্যে।

তৃতীয়ত, সাধারণ ব্যবহারের জন্য Administrator অ্যাকাউন্ট ব্যবহার করা থেকে বিরত থাকুন। Least Privilege Principle অনুসরণ করুন।

চতুর্থত, AppLocker বা Windows Defender Application Control ব্যবহার করে অনুমোদিত অ্যাপ্লিকেশন শ্বেততালিকা তৈরি করুন।

পঞ্চমত, BitLocker দিয়ে ডিস্ক এনক্রিপশন সক্ষম করুন, বিশেষ করে ল্যাপটপের জন্য।

ষষ্ঠত, PowerShell logging সক্ষম রাখুন এবং কেন্দ্রীয় লগ সংগ্রহ সিস্টেমে পাঠান।