Interesting Windows Registry Keys
Last updated
Last updated
Μάθετε & εξασκηθείτε στο Hacking του AWS:Εκπαίδευση HackTricks AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο Hacking του GCP: Εκπαίδευση HackTricks GCP Red Team Expert (GRTE)
Στο Software\Microsoft\Windows NT\CurrentVersion
, θα βρείτε την έκδοση των Windows, το Service Pack, την ώρα εγκατάστασης και το όνομα του εγγεγραμμένου κατόχου με απλό τρόπο.
Το όνομα του υπολογιστή βρίσκεται στο System\ControlSet001\Control\ComputerName\ComputerName
.
Η ζώνη ώρας του συστήματος αποθηκεύεται στο System\ControlSet001\Control\TimeZoneInformation
.
Από προεπιλογή, η καταγραφή του τελευταίου χρόνου πρόσβασης είναι απενεργοποιημένη (NtfsDisableLastAccessUpdate=1
). Για να την ενεργοποιήσετε, χρησιμοποιήστε: fsutil behavior set disablelastaccess 0
Η έκδοση των Windows υποδεικνύει την έκδοση (π.χ., Home, Pro) και την κυκλοφορία της (π.χ., Windows 10, Windows 11), ενώ τα Service Packs είναι ενημερώσεις που περιλαμβάνουν διορθώσεις και, μερικές φορές, νέα χαρακτηριστικά.
Η ενεργοποίηση της καταγραφής του τελευταίου χρόνου πρόσβασης σας επιτρέπει να δείτε πότε ανοίχτηκαν τελευταία τα αρχεία, κάτι που μπορεί να είναι κρίσιμο για αναλύσεις ψηφιακής δικονομίας ή παρακολούθηση συστήματος.
Το μητρώο περιέχει εκτεταμένα δεδομένα σχετικά με τις ρυθμίσεις δικτύου, συμπεριλαμβανομένων των τύπων δικτύων (ασύρματα, καλώδια, 3G) και των κατηγοριών δικτύου (Δημόσιο, Ιδιωτικό/Οικιακό, Domain/Εργασίας), τα οποία είναι ζωτικής σημασίας για την κατανόηση των ρυθμίσεων ασφαλείας δικτύου και των δικαιωμάτων.
Τα προγράμματα που αναφέρονται σε διάφορα κλειδιά του μητρώου Run
και RunOnce
εκκινούν αυτόματα κατά την εκκίνηση, επηρεάζοντας τον χρόνο εκκίνησης του συστήματος και ενδεχομένως αποτελώντας σημεία ενδιαφέροντος για την αναγνώριση κακόβουλου λογισμικού ή μη επιθυμητού λογισμικού.
Τα Shellbags όχι μόνο αποθηκεύουν προτιμήσεις για την προβολή φακέλων, αλλά παρέχουν επίσης αποδεικτικά στοιχεία ψηφιακής δικονομίας για την πρόσβαση σε φάκελο ακόμα και αν ο φάκελος δεν υπάρχει πλέον. Είναι ανεκτίμητα για έρευνες, αποκαλύπτοντας δραστηριότητες χρήστη που δεν είναι προφανείς με άλλα μέσα.
Οι λεπτομέρειες που αποθηκεύονται στο μητρώο σχετικά με τις συσκευές USB μπορούν να βοηθήσουν στην εντοπισμό των συσκευών που συνδέθηκαν σε έναν υπολογιστή, πιθανώς συνδέοντας μια συσκευή με ευαίσθητες μεταφορές αρχείων ή περιστατικά μη εξουσιοδοτημένης πρόσβασης.
Ο Αριθμός Σειριακού Όγκου μπορεί να είναι κρίσιμος για την παρακολούθηση της συγκεκριμένης περίπτωσης ενός συστήματος αρχείων, χρήσιμος σε ψηφιακά σενάρια όπου χρειάζεται να καθοριστεί η προέλευση του αρχείου σε διαφορετικές συσκευές.
Ο χρόνος κλεισίματος και ο αριθμός (μόνο για XP) κρατούνται στα System\ControlSet001\Control\Windows
και System\ControlSet001\Control\Watchdog\Display
.
Για λεπτομερείς πληροφορίες διεπαφής δικτύου, ανατρέξτε στο System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}
.
Οι πρώτες και τελευταίες χρόνοι σύνδεσης στο δίκτυο, συμπεριλαμβανομένων των συνδέσεων VPN, καταγράφονται σε διάφορα μονοπάτια στο Software\Microsoft\Windows NT\CurrentVersion\NetworkList
.
Οι κοινόχρηστοι φάκελοι και οι ρυθμίσεις βρίσκονται στο System\ControlSet001\Services\lanmanserver\Shares
. Οι ρυθμίσεις Κοινής Πλευράς Κρυφής (CSC) καθορίζουν τη διαθεσιμότητα αρχείων εκτός σύνδεσης.
Μονοπάτια όπως NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run
και παρόμοιες καταχωρήσεις κάτω από Software\Microsoft\Windows\CurrentVersion
λεπτομερούν προγράμματα που έχουν οριστεί να τρέχουν κατά την εκκίνηση.
Οι αναζητήσεις του Explorer και τα πληκτρολογημένα μονοπάτια καταγράφονται στο μητρώο κάτω από NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer
για τα WordwheelQuery και TypedPaths, αντίστοιχα.
Τα πρόσφατα έγγραφα και τα αρχεία Office που έχουν ανατεθεί πρόσβαση καταγράφονται στο NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
και σε συγκεκριμένα μονοπάτια εκδόσεων Office.
Οι λίστες MRU, που υποδεικνύουν πρόσφατα μονοπάτια αρχείων και εντολές, αποθηκεύονται σε διάφορα υποκλειδιά ComDlg32
και Explorer
κάτω από το NTUSER.DAT
.
Το χαρακτηριστικό User Assist καταγράφει λεπτομερείς στατιστικές χρ