Interesting Windows Registry Keys
Last updated
Last updated
Lernen Sie und üben Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen Sie und üben Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Unter Software\Microsoft\Windows NT\CurrentVersion finden Sie die Windows-Version, das Service Pack, die Installationszeit und den Namen des registrierten Eigentümers auf einfache Weise.
Der Hostname befindet sich unter System\ControlSet001\Control\ComputerName\ComputerName.
Die Zeitzoneneinstellung des Systems wird unter System\ControlSet001\Control\TimeZoneInformation gespeichert.
Standardmäßig ist die Verfolgung der letzten Zugriffszeit deaktiviert (NtfsDisableLastAccessUpdate=1). Um sie zu aktivieren, verwenden Sie: fsutil behavior set disablelastaccess 0
Die Windows-Version gibt die Edition an (z. B. Home, Pro) und ihre Veröffentlichung (z. B. Windows 10, Windows 11), während Service Packs Updates sind, die Fixes und manchmal neue Funktionen enthalten.
Das Aktivieren der Verfolgung der letzten Zugriffszeit ermöglicht es Ihnen zu sehen, wann Dateien zuletzt geöffnet wurden, was für forensische Analysen oder Systemüberwachung entscheidend sein kann.
Die Registrierung enthält umfangreiche Daten zu Netzwerkkonfigurationen, einschließlich Arten von Netzwerken (drahtlos, Kabel, 3G) und Netzwerkkategorien (Öffentlich, Privat/Zuhause, Domäne/Arbeit), die für das Verständnis von Netzwerksicherheitseinstellungen und Berechtigungen wichtig sind.
CSC verbessert den Offline-Zugriff auf Dateien, indem Kopien von freigegebenen Dateien zwischengespeichert werden. Unterschiedliche CSCFlags-Einstellungen steuern, wie und welche Dateien zwischengespeichert werden, was die Leistung und Benutzererfahrung beeinflusst, insbesondere in Umgebungen mit intermittierender Konnektivität.
Programme, die in verschiedenen Run- und RunOnce-Registrierungsschlüsseln aufgeführt sind, werden automatisch beim Start ausgeführt, was die Systemstartzeit beeinflusst und potenziell interessante Punkte zur Identifizierung von Malware oder unerwünschter Software darstellen kann.
Shellbags speichern nicht nur Präferenzen für Ordneransichten, sondern liefern auch forensische Beweise für den Zugriff auf Ordner, auch wenn der Ordner nicht mehr existiert. Sie sind für Untersuchungen unverzichtbar und zeigen Benutzeraktivitäten auf, die auf andere Weise nicht offensichtlich sind.
Die im Registrierungsspeicher gespeicherten Details zu USB-Geräten können dabei helfen, festzustellen, welche Geräte mit einem Computer verbunden waren, und möglicherweise eine Verbindung eines Geräts zu sensiblen Dateiübertragungen oder unbefugten Zugriffsvorfällen herstellen.
Die Volumenseriennummer kann entscheidend sein, um die spezifische Instanz eines Dateisystems zu verfolgen, was in forensischen Szenarien nützlich ist, in denen die Herkunft einer Datei über verschiedene Geräte hinweg festgestellt werden muss.
Herunterfahrzeit und -anzahl (letztere nur für XP) werden in System\ControlSet001\Control\Windows und System\ControlSet001\Control\Watchdog\Display aufbewahrt.
Für detaillierte Informationen zur Netzwerkschnittstelle siehe System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}.
Erste und letzte Netzwerkverbindungszeiten, einschließlich VPN-Verbindungen, werden unter verschiedenen Pfaden in Software\Microsoft\Windows NT\CurrentVersion\NetworkList protokolliert.
Freigegebene Ordner und Einstellungen befinden sich unter System\ControlSet001\Services\lanmanserver\Shares. Die Einstellungen für das clientseitige Caching (CSC) bestimmen die Verfügbarkeit von Offline-Dateien.
Pfade wie NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run und ähnliche Einträge unter Software\Microsoft\Windows\CurrentVersion geben Details zu Programmen, die beim Start ausgeführt werden sollen.
Explorer-Suchen und eingegebene Pfade werden in der Registrierung unter NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer für WordwheelQuery und TypedPaths verfolgt.
Zuletzt verwendete Dokumente und Office-Dateien werden in NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs und spezifischen Office-Version-Pfaden vermerkt.
MRU-Listen, die kürzlich verwendete Dateipfade und Befehle anzeigen, werden in verschiedenen ComDlg32- und Explorer-Unterschlüsseln unter NTUSER.DAT gespeichert.
Das User Assist-Feature protokolliert detaillierte Anwendungsverwendungsinformationen, einschließlich Ausführungszähler und letzter Ausführungszeit, unter NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count.
Shellbags, die Details zum Ordnerzugriff anzeigen, werden in USRCLASS.DAT und NTUSER.DAT unter Software\Microsoft\Windows\Shell gespeichert. Verwenden Sie Shellbag Explorer für die Analyse.
HKLM\SYSTEM\ControlSet001\Enum\USBSTOR und HKLM\SYSTEM\ControlSet001\Enum\USB enthalten umfangreiche Details zu angeschlossenen USB-Geräten, einschließlich Hersteller, Produktname und Verbindungszeitstempel.
Der Benutzer, der mit einem bestimmten USB-Gerät verbunden ist, kann durch Suche in den NTUSER.DAT-Hives nach der {GUID} des Geräts ermittelt werden.
Das zuletzt eingebundene Gerät und seine Volumenseriennummer können über System\MountedDevices und Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt zurückverfolgt werden.
Dieser Leitfaden fasst die wesentlichen Pfade und Methoden zur Zugriff auf detaillierte Informationen zu Systemen, Netzwerken und Benutzeraktivitäten auf Windows-Systemen zusammen, mit dem Ziel von Klarheit und Benutzerfreundlichkeit.
Lernen Sie und üben Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen Sie und üben Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)
