Interesting Windows Registry Keys
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Βρίσκεται στο Software\Microsoft\Windows NT\CurrentVersion, θα βρείτε την έκδοση των Windows, το Service Pack, τον χρόνο εγκατάστασης και το όνομα του καταχωρημένου ιδιοκτήτη με σαφή τρόπο.
Το όνομα υπολογιστή βρίσκεται κάτω από System\ControlSet001\Control\ComputerName\ComputerName.
Η ζώνη ώρας του συστήματος αποθηκεύεται στο System\ControlSet001\Control\TimeZoneInformation.
Από προεπιλογή, η παρακολούθηση του τελευταίου χρόνου πρόσβασης είναι απενεργοποιημένη (NtfsDisableLastAccessUpdate=1). Για να την ενεργοποιήσετε, χρησιμοποιήστε: fsutil behavior set disablelastaccess 0
Η έκδοση των Windows υποδεικνύει την έκδοση (π.χ. Home, Pro) και την κυκλοφορία της (π.χ. Windows 10, Windows 11), ενώ τα Service Packs είναι ενημερώσεις που περιλαμβάνουν διορθώσεις και, μερικές φορές, νέες δυνατότητες.
Η ενεργοποίηση της παρακολούθησης του τελευταίου χρόνου πρόσβασης σας επιτρέπει να δείτε πότε άνοιξαν τελευταία τα αρχεία, κάτι που μπορεί να είναι κρίσιμο για την εγκληματολογική ανάλυση ή την παρακολούθηση του συστήματος.
Η μητρώο περιέχει εκτενή δεδομένα σχετικά με τις ρυθμίσεις δικτύου, συμπεριλαμβανομένων τύπων δικτύων (ασύρματα, καλωδιακά, 3G) και κατηγοριών δικτύου (Δημόσιο, Ιδιωτικό/Σπίτι, Τομέας/Εργασία), που είναι ζωτικής σημασίας για την κατανόηση των ρυθμίσεων ασφαλείας δικτύου και των δικαιωμάτων.
CSC βελτιώνει την πρόσβαση σε αρχεία εκτός σύνδεσης αποθηκεύοντας αντίγραφα κοινών αρχείων. Διαφορετικές ρυθμίσεις CSCFlags ελέγχουν πώς και ποια αρχεία αποθηκεύονται στην κρυφή μνήμη, επηρεάζοντας την απόδοση και την εμπειρία του χρήστη, ειδικά σε περιβάλλοντα με διαλείπουσα συνδεσιμότητα.
Τα προγράμματα που αναφέρονται σε διάφορα κλειδιά μητρώου Run και RunOnce εκκινούν αυτόματα κατά την εκκίνηση, επηρεάζοντας τον χρόνο εκκίνησης του συστήματος και ενδεχομένως αποτελώντας σημεία ενδιαφέροντος για την αναγνώριση κακόβουλου λογισμικού ή ανεπιθύμητου λογισμικού.
Shellbags όχι μόνο αποθηκεύουν προτιμήσεις για τις προβολές φακέλων αλλά παρέχουν επίσης εγκληματολογικά στοιχεία πρόσβασης φακέλων ακόμη και αν ο φάκελος δεν υπάρχει πια. Είναι ανεκτίμητα για τις έρευνες, αποκαλύπτοντας δραστηριότητα χρηστών που δεν είναι προφανής μέσω άλλων μέσων.
Οι λεπτομέρειες που αποθηκεύονται στο μητρώο σχετικά με τις συσκευές USB μπορούν να βοηθήσουν στην ανίχνευση ποια συσκευές συνδέθηκαν σε έναν υπολογιστή, ενδεχομένως συνδέοντας μια συσκευή με ευαίσθητες μεταφορές αρχείων ή περιστατικά μη εξουσιοδοτημένης πρόσβασης.
Ο Αριθμός Σειράς Όγκου μπορεί να είναι κρίσιμος για την παρακολούθηση της συγκεκριμένης περίπτωσης ενός συστήματος αρχείων, χρήσιμος σε εγκληματολογικά σενάρια όπου πρέπει να καθοριστεί η προέλευση ενός αρχείου σε διάφορες συσκευές.
Ο χρόνος και ο αριθμός τερματισμού (ο τελευταίος μόνο για XP) διατηρούνται στο System\ControlSet001\Control\Windows και System\ControlSet001\Control\Watchdog\Display.
Για λεπτομερείς πληροφορίες σχετικά με τη διεπαφή δικτύου, ανατρέξτε στο System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}.
Οι πρώτοι και τελευταίοι χρόνοι σύνδεσης δικτύου, συμπεριλαμβανομένων των συνδέσεων VPN, καταγράφονται κάτω από διάφορες διαδρομές στο Software\Microsoft\Windows NT\CurrentVersion\NetworkList.
Οι κοινόχρηστοι φάκελοι και οι ρυθμίσεις βρίσκονται κάτω από System\ControlSet001\Services\lanmanserver\Shares. Οι ρυθμίσεις Client Side Caching (CSC) καθορίζουν τη διαθεσιμότητα αρχείων εκτός σύνδεσης.
Διαδρομές όπως NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run και παρόμοιες καταχωρήσεις κάτω από Software\Microsoft\Windows\CurrentVersion περιγράφουν προγράμματα που έχουν ρυθμιστεί να εκκινούν κατά την εκκίνηση.
Οι αναζητήσεις του Explorer και οι πληκτρολογημένες διαδρομές παρακολουθούνται στο μητρώο κάτω από NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer για WordwheelQuery και TypedPaths, αντίστοιχα.
Τα πρόσφατα έγγραφα και τα αρχεία Office που έχουν προσπελαστεί σημειώνονται στο NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs και σε συγκεκριμένες διαδρομές έκδοσης Office.
Οι λίστες MRU, που υποδεικνύουν πρόσφατες διαδρομές αρχείων και εντολές, αποθηκεύονται σε διάφορους υποκλειδικούς ComDlg32 και Explorer κάτω από NTUSER.DAT.
Η δυνατότητα User Assist καταγράφει λεπτομερείς στατιστικές χρήσης εφαρμογών, συμπεριλαμβανομένου του αριθμού εκτελέσεων και του τελευταίου χρόνου εκτέλεσης, στο NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count.
Τα Shellbags, που αποκαλύπτουν λεπτομέρειες πρόσβασης φακέλων, αποθηκεύονται στο USRCLASS.DAT και NTUSER.DAT κάτω από Software\Microsoft\Windows\Shell. Χρησιμοποιήστε Shellbag Explorer για ανάλυση.
HKLM\SYSTEM\ControlSet001\Enum\USBSTOR και HKLM\SYSTEM\ControlSet001\Enum\USB περιέχουν πλούσιες λεπτομέρειες σχετικά με τις συνδεδεμένες συσκευές USB, συμπεριλαμβανομένου του κατασκευαστή, του ονόματος προϊόντος και των χρονικών σημείων σύνδεσης.
Ο χρήστης που σχετίζεται με μια συγκεκριμένη συσκευή USB μπορεί να προσδιοριστεί αναζητώντας τις βάσεις NTUSER.DAT για το {GUID} της συσκευής.
Η τελευταία τοποθετημένη συσκευή και ο αριθμός σειράς όγκου της μπορούν να ανιχνευθούν μέσω των System\MountedDevices και Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt, αντίστοιχα.
This guide condenses the crucial paths and methods for accessing detailed system, network, and user activity information on Windows systems, aiming for clarity and usability.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
