Interesting Windows Registry Keys
Last updated
Last updated
AWS рд╣реИрдХрд┐рдВрдЧ рд╕реАрдЦреЗрдВ рдФрд░ рдЕрднреНрдпрд╛рд╕ рдХрд░реЗрдВ:HackTricks рдкреНрд░рд╢рд┐рдХреНрд╖рдг AWS рд░реЗрдб рдЯреАрдо рд╡рд┐рд╢реЗрд╖рдЬреНрдЮ (ARTE) GCP рд╣реИрдХрд┐рдВрдЧ рд╕реАрдЦреЗрдВ рдФрд░ рдЕрднреНрдпрд╛рд╕ рдХрд░реЗрдВ: HackTricks рдкреНрд░рд╢рд┐рдХреНрд╖рдг GCP рд░реЗрдб рдЯреАрдо рд╡рд┐рд╢реЗрд╖рдЬреНрдЮ (GRTE)
Software\Microsoft\Windows NT\CurrentVersion рдкрд░ рд╕реНрдерд┐рдд рд╣реИ, рдЖрдкрдХреЛ Windows рд╕рдВрд╕реНрдХрд░рдг, рд╕реЗрд╡рд╛ рдкреИрдХ, рд╕реНрдерд╛рдкрдирд╛ рд╕рдордп, рдФрд░ рдкрдВрдЬреАрдХреГрдд рдорд╛рд▓рд┐рдХ рдХрд╛ рдирд╛рдо рд╕реАрдзреЗ рдврдВрдЧ рд╕реЗ рдорд┐рд▓реЗрдЧрд╛ред
рд╣реЛрд╕реНрдЯрдирд╛рдо System\ControlSet001\Control\ComputerName\ComputerName рдХреЗ рддрд╣рдд рдкрд╛рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред
рд╕рд┐рд╕реНрдЯрдо рдХрд╛ рд╕рдордп рдХреНрд╖реЗрддреНрд░ System\ControlSet001\Control\TimeZoneInformation рдореЗрдВ рд╕рдВрдЧреНрд░рд╣рд┐рдд рд╣реЛрддрд╛ рд╣реИред
рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ, рдЕрдВрддрд┐рдо рдкрд╣реБрдВрдЪ рд╕рдордп рдЯреНрд░реИрдХрд┐рдВрдЧ рдмрдВрдж рд╣реЛрддреА рд╣реИ (NtfsDisableLastAccessUpdate=1). рдЗрд╕реЗ рд╕рдХреНрд╖рдо рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдЗрд╕реНрддреЗрдорд╛рд▓ рдХрд░реЗрдВ: fsutil behavior set disablelastaccess 0
Windows рд╕рдВрд╕реНрдХрд░рдг рд╕рдВрд╕реНрдХрд░рдг (рдЬреИрд╕реЗ, рд╣реЛрдо, рдкреНрд░реЛ) рдФрд░ рдЗрд╕рдХрд╛ рд░рд┐рд▓реАрдЬ (рдЬреИрд╕реЗ, Windows 10, Windows 11) рдХреЛ рджрд░реНрд╢рд╛рддрд╛ рд╣реИ, рдЬрдмрдХрд┐ рд╕реЗрд╡рд╛ рдкреИрдХ рдЕрдкрдбреЗрдЯ рд╣реИрдВ рдЬрд┐рд╕рдореЗрдВ рд╕реБрдзрд╛рд░ рдФрд░ рдХрднреА-рдХрднреА рдирдП рд╕реБрд╡рд┐рдзрд╛рдПрдБ рд╢рд╛рдорд┐рд▓ рд╣реЛрддреА рд╣реИрдВред
рдЕрдВрддрд┐рдо рдкрд╣реБрдВрдЪ рд╕рдордп рдЯреНрд░реИрдХрд┐рдВрдЧ рд╕рдХреНрд╖рдо рдХрд░рдиреЗ рд╕реЗ рдЖрдк рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдлрд╝рд╛рдЗрд▓реЗрдВ рдХрдм рдЖрдЦрд┐рд░реА рдмрд╛рд░ рдЦреЛрд▓реА рдЧрдИ рдереАрдВ, рдЬреЛ рдЬрд╛рдВрдЪ рдпрд╛ рд╕рд┐рд╕реНрдЯрдо рдореЙрдирд┐рдЯрд░рд┐рдВрдЧ рдХреЗ рд▓рд┐рдП рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реЛ рд╕рдХрддрд╛ рд╣реИред
рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдореЗрдВ рдиреЗрдЯрд╡рд░реНрдХ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдкрд░ рд╡реНрдпрд╛рдкрдХ рдбреЗрдЯрд╛ рд╣реЛрддрд╛ рд╣реИ, рдЬрд┐рд╕рдореЗрдВ рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рдкреНрд░рдХрд╛рд░ (рд╡рд╛рдпрд░рд▓реЗрд╕, рдХреЗрдмрд▓, 3рдЬреА) рдФрд░ рдиреЗрдЯрд╡рд░реНрдХ рд╢реНрд░реЗрдгрд┐рдпрд╛рдБ (рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ, рдирд┐рдЬреА/рдШрд░, рдбреЛрдореЗрди/рдХрд╛рдо) рд╢рд╛рдорд┐рд▓ рд╣реИрдВ, рдЬреЛ рдиреЗрдЯрд╡рд░реНрдХ рд╕реБрд░рдХреНрд╖рд╛ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдФрд░ рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреЛ рд╕рдордЭрдиреЗ рдХреЗ рд▓рд┐рдП рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реИрдВред
CSC рд╕рд╛рдЭрд╛ рдлрд╝рд╛рдЗрд▓реЛрдВ рдХрд╛ рдХреИрд╢рд┐рдВрдЧ рдХрд░рдХреЗ рдСрдлрд╝рд▓рд╛рдЗрди рдлрд╝рд╛рдЗрд▓ рдПрдХреНрд╕реЗрд╕ рдХреЛ рдмрдврд╝рд╛рддрд╛ рд╣реИред рд╡рд┐рднрд┐рдиреНрди CSCFlags рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдирд┐рдпрдВрддреНрд░рд┐рдд рдХрд░рддреА рд╣реИрдВ рдХрд┐ рдХреИрд╕реЗ рдФрд░ рдХреМрди рд╕реА рдлрд╝рд╛рдЗрд▓реЗрдВ рдХреИрд╢ рд╣реЛрддреА рд╣реИрдВ, рдкреНрд░рджрд░реНрд╢рди рдФрд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЕрдиреБрднрд╡ рдкрд░ рдкреНрд░рднрд╛рд╡ рдбрд╛рд▓рддреА рд╣реИрдВ, рдЦрд╛рд╕рдХрд░ рдРрд╕реЗ рд╡рд╛рддрд╛рд╡рд░рдгреЛрдВ рдореЗрдВ рдЬрд┐рдирдореЗрдВ рдЕрдВрддрд░рд┐рдХреНрд╖рд┐рдХ рд╕рдВрдпреЛрдЬрди рд╣реИред
рд╡рд┐рднрд┐рдиреНрди Run рдФрд░ RunOnce рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдХреБрдВрдЬреА рдореЗрдВ рд╕реВрдЪреАрдмрджреНрдз рдкреНрд░реЛрдЧреНрд░рд╛рдо рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рд╕реНрдЯрд╛рд░реНрдЯрдЕрдк рдкрд░ рд▓реЙрдиреНрдЪ рд╣реЛрддреЗ рд╣реИрдВ, рд╕рд┐рд╕реНрдЯрдо рдмреВрдЯ рд╕рдордп рдкрд░ рдкреНрд░рднрд╛рд╡ рдбрд╛рд▓рддреЗ рд╣реИрдВ рдФрд░ рдорд╛рд▓рд╡реЗрдпрд░ рдпрд╛ рдЕрд╡рд╛рдВрдЫрд┐рдд рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рдХреА рдкрд╣рдЪрд╛рди рдХреЗ рд▓рд┐рдП рдорд╣рддреНрд╡рдкреВрд░реНрдг рдмрд┐рдВрджреБ рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВред
рд╢реЗрд▓рдмреИрдЧреНрд╕ рди рдХреЗрд╡рд▓ рдлрд╝реЛрд▓реНрдбрд░ рджреГрд╢реНрдпреЛрдВ рдХреЗ рд▓рд┐рдП рдкрд╕рдВрдж рд░рдЦрддреЗ рд╣реИрдВ рдмрд▓реНрдХрд┐ рдпрджрд┐ рдлрд╝реЛрд▓реНрдбрд░ рдЕрдм рдореМрдЬреВрдж рдирд╣реАрдВ рд╣реИ рддреЛ рдлрд╝реЛрд▓реНрдбрд░ рдПрдХреНрд╕реЗрд╕ рдХреЗ рдлреЛрд░реЗрдВрд╕рд┐рдХ рд╕рд╛рдХреНрд╖реНрдп рднреА рдкреНрд░рджрд╛рди рдХрд░рддреЗ рд╣реИрдВред рд╡реЗ рдЬрд╛рдВрдЪреЛрдВ рдХреЗ рд▓рд┐рдП рдЕрдирдореЛрд▓ рд╣реИрдВ, рдЕрдиреНрдп рд╕рд╛рдзрдиреЛрдВ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд╕реНрдкрд╖реНрдЯ рдирд╣реАрдВ рд╣реЛрдиреЗ рд╡рд╛рд▓реА рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЧрддрд┐рд╡рд┐рдзрд┐ рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдиреЗ рдХреЗ рд▓рд┐рдПред
USB рдбрд┐рд╡рд╛рдЗрд╕ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдореЗрдВ рд╕рдВрдЧреНрд░рд╣рд┐рдд рд╡рд┐рд╡рд░рдг рдПрдХ рдХрдВрдкреНрдпреВрдЯрд░ рд╕реЗ рдХрдиреЗрдХреНрдЯ рдХрд┐рдП рдЧрдП рдХреМрди рд╕реЗ рдбрд┐рд╡рд╛рдЗрд╕ рдереЗ, рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рдлрд╝рд╛рдЗрд▓ рд╕реНрдерд╛рдирд╛рдВрддрд░рдг рдпрд╛ рдЕрдирдзрд┐рдХреГрдд рдкрд╣реБрдВрдЪ рдШрдЯрдирд╛рдУрдВ рд╕реЗ рдПрдХ рдбрд┐рд╡рд╛рдЗрд╕ рдХреЛ рдЬреЛрдбрд╝ рд╕рдХрддреЗ рд╣реИрдВред
рд╡реЙрд▓реНрдпреВрдо рд╕реАрд░рд┐рдпрд▓ рдирдВрдмрд░ рдПрдХ рдлрд╝рд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо рдХреЗ рд╡рд┐рд╢рд┐рд╖реНрдЯ рдЙрджрд╛рд╣рд░рдг рдХрд╛ рдЯреНрд░реИрдХрд┐рдВрдЧ рдХреЗ рд▓рд┐рдП рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реЛ рд╕рдХрддрд╛ рд╣реИ, рдЬрд┐рд╕реЗ рд╡рд┐рднрд┐рдиреНрди рдЙрдкрдХрд░рдгреЛрдВ рдкрд░ рдлрд╝рд╛рдЗрд▓ рдХрд╛ рдореВрд▓ рд╕реНрдерд╛рди рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрддреА рд╣реИред
рд╢рдЯрдбрд╛рдЙрди рд╕рдордп рдФрд░ рдЧрд┐рдирддреА (рдХреЗрд╡рд▓ XP рдХреЗ рд▓рд┐рдП) System\ControlSet001\Control\Windows рдФрд░ System\ControlSet001\Control\Watchdog\Display рдореЗрдВ рд░рдЦреА рдЬрд╛рддреА рд╣реИрдВред
рд╡рд┐рд╕реНрддреГрдд рдиреЗрдЯрд╡рд░реНрдХ рдЗрдВрдЯрд░рдлреЗрд╕ рдЬрд╛рдирдХрд╛рд░реА рдХреЗ рд▓рд┐рдП, System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE} рдХрд╛ рд╕рдВрджрд░реНрдн рджреЗрдВред
рдкрд╣рд▓реА рдФрд░ рдЖрдЦрд┐рд░реА рдиреЗрдЯрд╡рд░реНрдХ рдХрдиреЗрдХреНрд╢рди рд╕рдордп, рд╡реНрдпреВрдкреАрдПрди рдХрдиреЗрдХреНрд╢рди рд╕рд╣рд┐рдд, Software\Microsoft\Windows NT\CurrentVersion\NetworkList рдореЗрдВ рд╡рд┐рднрд┐рдиреНрди рдкрдереЛрдВ рдХреЗ рддрд╣рдд рд▓реЙрдЧ рдХрд┐рдП рдЧрдП рд╣реИрдВред
рд╕рд╛рдЭрд╛ рдлреЛрд▓реНрдбрд░ рдФрд░ рд╕реЗрдЯрд┐рдВрдЧ System\ControlSet001\Services\lanmanserver\Shares рдХреЗ рддрд╣рдд рд╣реИрдВред рдХреНрд▓рд╛рдЗрдВрдЯ рд╕рд╛рдЗрдб рдХреИрд╢рд┐рдВрдЧ (CSC) рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдСрдлрд╝рд▓рд╛рдЗрди рдлрд╝рд╛рдЗрд▓ рдЙрдкрд▓рдмреНрдзрддрд╛ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд░рддреА рд╣реИрдВред
рдкрде рдЬреИрд╕реЗ NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run рдФрд░ Software\Microsoft\Windows\CurrentVersion рдХреЗ рддрд╣рдд рд╕рдорд╛рди рдкреНрд░рд╡рд┐рд╖реНрдЯрд┐рдпрд╛рдБ рд╡рд┐рд╕реНрддрд╛рд░ рд╕реЗ рд╡рд┐рд╡рд░рдгрд┐рдд рдХрд░рддреА рд╣реИрдВ рдЬреЛ рд╕реНрдЯрд╛рд░реНрдЯрдЕрдк рдкрд░ рдЪрд▓рд╛рдиреЗ рдХреЗ рд▓рд┐рдП рд╕реЗрдЯ рдХрд┐рдП рдЧрдП рдкреНрд░реЛрдЧреНрд░рд╛рдо рд╣реИрдВред
рдПрдХреНрд╕рдкреНрд▓реЛрд░рд░ рдЦреЛрдЬ рдФрд░ рдЯрдВрдХрд┐рдд рдкрде рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдореЗрдВ рдЯреНрд░реИрдХ рдХрд┐рдП рдЬрд╛рддреЗ рд╣реИрдВ NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer рдХреЗ рддрд╣рдд WordwheelQuery рдФрд░ TypedPaths рдХреЗ рд▓рд┐рдПред
рд╣рд╛рд▓ рд╣реА рдореЗрдВ рджрд╕реНрддрд╛рд╡реЗрдЬрд╝ рдФрд░ рдСрдлрд┐рд╕ рдлрд╝рд╛рдЗрд▓реЗрдВ рдЬрд┐рдирдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рдЙрдиреНрд╣реЗрдВ рдиреЛрдЯ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs рдФрд░ рд╡рд┐рд╢реЗрд╖ рдСрдлрд┐рд╕ рд╕рдВрд╕реНрдХрд░рдг рдкрдереЛрдВ рдореЗрдВред
MRU рд╕реВрдЪрд┐рдпрд╛рдБ, рд╣рд╛рд▓ рд╣реА рдореЗрдВ рдлрд╝рд╛рдЗрд▓ рдкрде рдФрд░ рдХрдорд╛рдВрдб рдХреЛ рджрд░реНрд╢рд╛рддреА рд╣реИрдВ, рд╡рд┐рднрд┐рдиреНрди ComDlg32 рдФрд░ Explorer рд╕рдмрдХреА рдореЗрдВ NTUSER.DAT рдХреЗ рддрд╣рдд рд╕рдВрдЧреНрд░рд╣реАрдд рд╣реЛрддреА рд╣реИрдВред
рдпреВрдЬрд╝рд░ рдЕрд╕рд┐рд╕реНрдЯ рдлрд╝реАрдЪрд░ рд╡рд┐рд╕реНрддреГрдд рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдЙрдкрдпреЛрдЧ рд╕
