Interesting Windows Registry Keys
Last updated
Last updated
Leer & oefen AWS-hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP-hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)
Onder Software\Microsoft\Windows NT\CurrentVersion vind jy die Windows-weergawe, Dienspakket, installasie-tyd, en die geregistreerde eienaar se naam op 'n maklike manier.
Die rekenaam word gevind onder System\ControlSet001\Control\ComputerName\ComputerName.
Die stelsel se tydsone word gestoor in System\ControlSet001\Control\TimeZoneInformation.
Standaard is die laaste toegangstydopsporing afgeskakel (NtfsDisableLastAccessUpdate=1). Om dit te aktiveer, gebruik: fsutil behavior set disablelastaccess 0
Die Windows-weergawe dui die uitgawe aan (bv., Home, Pro) en sy vrystelling (bv., Windows 10, Windows 11), terwyl Dienspakette opdaterings is wat oplossings insluit en soms nuwe funksies.
Die aktivering van laaste toegangstydopsporing stel jou in staat om te sien wanneer lêers laas oopgemaak is, wat krities kan wees vir forensiese analise of stelselmonitoring.
Die register bevat omvattende data oor netwerkkonfigurasies, insluitend tipes netwerke (draadloos, kabel, 3G) en netwerkkategorieë (Publiek, Privaat/Tuis, Domein/Werk), wat noodsaaklik is vir die begrip van netwerksekuriteitsinstellings en toestemmings.
CSC verbeter die aanlyn lêertoegang deur kopieë van gedeelde lêers te kê en te stoor. Verskillende CSCFlags-instellings beheer hoe en watter lêers gekê word, wat die prestasie en gebruikerervaring beïnvloed, veral in omgewings met onderbrekende konnektiwiteit.
Programme wat in verskeie Run en RunOnce registerleutels gelys word, word outomaties by aanvang van die stelsel begin, wat die stelselopstarttyd beïnvloed en moontlik punte van belang kan wees vir die identifisering van malware of ongewenste sagteware.
Shellbags stoor nie net voorkeure vir vouer-aansigte nie, maar verskaf ook forensiese bewyse van vouertoegang selfs as die vouer nie meer bestaan nie. Dit is van onskatbare waarde vir ondersoeke, wat gebruikersaktiwiteit onthul wat nie deur ander middele duidelik is nie.
Die besonderhede wat in die register oor USB-toestelle gestoor word, kan help om na te gaan watter toestelle aan 'n rekenaar gekoppel was, wat moontlik 'n toestel aan sensitiewe lêeroordragte of ongemagtigde toegangsinvalle kan koppel.
Die Volumereeksnommer kan van kritieke belang wees vir die opsporing van die spesifieke instansie van 'n lêersisteem, nuttig in forensiese scenario's waar lêeroorsprong oor verskillende toestelle vasgestel moet word.
Afskakelingstyd en telling (laasgenoemde slegs vir XP) word in System\ControlSet001\Control\Windows en System\ControlSet001\Control\Watchdog\Display bewaar.
Vir gedetailleerde netwerkinterfase-inligting, verwys na System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}.
Eerste en laaste netwerkverbindingsdae, insluitend VPN-verbindings, word gelog onder verskeie paaie in Software\Microsoft\Windows NT\CurrentVersion\NetworkList.
Gedeelde vouers en instellings is onder System\ControlSet001\Services\lanmanserver\Shares. Die Kliëntkantse Caching (CSC) instellings bepaal die aanlyn lêerbeskikbaarheid.
Paaie soos NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run en soortgelyke inskrywings onder Software\Microsoft\Windows\CurrentVersion beskryf programme wat by aanvang begin moet word.
Verkenner-soekopdragte en getikte paaie word in die register onder NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer vir WordwheelQuery en TypedPaths, onderskeidelik, opgespoor.
Onlangse dokumente en kantoorlêers wat geopen is, word aangeteken in NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs en spesifieke kantoorweergawe-paaie.
MRU-lyste, wat onlangse lêerpaaie en opdragte aandui, word gestoor in verskeie ComDlg32 en Explorer subleutels onder NTUSER.DAT.
Die Gebruikersassist-funksie log gedetailleerde aansoekgebruikstatistieke, insluitend uitvoertelling en laaste uitvoertyd, by NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count.
Shellbags, wat vouertoegangsdetails onthul, word gestoor in USRCLASS.DAT en NTUSER.DAT onder Software\Microsoft\Windows\Shell. Gebruik Shellbag Explorer vir analise.
HKLM\SYSTEM\ControlSet001\Enum\USBSTOR en HKLM\SYSTEM\ControlSet001\Enum\USB bevat ryk besonderhede oor gekoppelde USB-toestelle, insluitend vervaardiger, produknaam, en koppeltydstempels.
Die gebruiker wat met 'n spesifieke USB-toestel geassosieer word, kan bepaal word deur in NTUSER.DAT-korwe vir die toestel se {GUID} te soek.
Die laaste gemonteerde toestel en sy volumereeksnommer kan opgespoor word deur System\MountedDevices en Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt, onderskeidelik.
Hierdie gids kondenseer die noodsaaklike paaie en metodes vir die verkryging van gedetailleerde stelsel-, netwerk-, en gebruikersaktiwiteitsinligting op Windows-stelsels, met die doel om duidelikheid en bruikbaarheid te bied.
Leer & oefen AWS-hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP-hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)
