Interesting Windows Registry Keys
Last updated
Last updated
AWS हैकिंग सीखें और अभ्यास करें:HackTricks प्रशिक्षण AWS रेड टीम विशेषज्ञ (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks प्रशिक्षण GCP रेड टीम विशेषज्ञ (GRTE)
Software\Microsoft\Windows NT\CurrentVersion
पर स्थित है, आपको Windows संस्करण, सेवा पैक, स्थापना समय, और पंजीकृत मालिक का नाम सीधे ढंग से मिलेगा।
होस्टनाम System\ControlSet001\Control\ComputerName\ComputerName
के तहत पाया जाता है।
सिस्टम का समय क्षेत्र System\ControlSet001\Control\TimeZoneInformation
में संग्रहित होता है।
डिफ़ॉल्ट रूप से, अंतिम पहुंच समय ट्रैकिंग बंद होती है (NtfsDisableLastAccessUpdate=1
). इसे सक्षम करने के लिए, इस्तेमाल करें: fsutil behavior set disablelastaccess 0
Windows संस्करण संस्करण (जैसे, होम, प्रो) और इसका रिलीज (जैसे, Windows 10, Windows 11) को दर्शाता है, जबकि सेवा पैक अपडेट हैं जिसमें सुधार और कभी-कभी नए सुविधाएँ शामिल होती हैं।
अंतिम पहुंच समय ट्रैकिंग सक्षम करने से आप देख सकते हैं कि फ़ाइलें कब आखिरी बार खोली गई थीं, जो जांच या सिस्टम मॉनिटरिंग के लिए महत्वपूर्ण हो सकता है।
रजिस्ट्री में नेटवर्क कॉन्फ़िगरेशन पर व्यापक डेटा होता है, जिसमें नेटवर्क के प्रकार (वायरलेस, केबल, 3जी) और नेटवर्क श्रेणियाँ (सार्वजनिक, निजी/घर, डोमेन/काम) शामिल हैं, जो नेटवर्क सुरक्षा सेटिंग्स और अनुमतियों को समझने के लिए महत्वपूर्ण हैं।
CSC साझा फ़ाइलों का कैशिंग करके ऑफ़लाइन फ़ाइल एक्सेस को बढ़ाता है। विभिन्न CSCFlags सेटिंग्स नियंत्रित करती हैं कि कैसे और कौन सी फ़ाइलें कैश होती हैं, प्रदर्शन और उपयोगकर्ता अनुभव पर प्रभाव डालती हैं, खासकर ऐसे वातावरणों में जिनमें अंतरिक्षिक संयोजन है।
विभिन्न Run
और RunOnce
रजिस्ट्री कुंजी में सूचीबद्ध प्रोग्राम स्वचालित रूप से स्टार्टअप पर लॉन्च होते हैं, सिस्टम बूट समय पर प्रभाव डालते हैं और मालवेयर या अवांछित सॉफ़्टवेयर की पहचान के लिए महत्वपूर्ण बिंदु हो सकते हैं।
शेलबैग्स न केवल फ़ोल्डर दृश्यों के लिए पसंद रखते हैं बल्कि यदि फ़ोल्डर अब मौजूद नहीं है तो फ़ोल्डर एक्सेस के फोरेंसिक साक्ष्य भी प्रदान करते हैं। वे जांचों के लिए अनमोल हैं, अन्य साधनों के माध्यम से स्पष्ट नहीं होने वाली उपयोगकर्ता गतिविधि का पता लगाने के लिए।
USB डिवाइस के बारे में रजिस्ट्री में संग्रहित विवरण एक कंप्यूटर से कनेक्ट किए गए कौन से डिवाइस थे, संवेदनशील फ़ाइल स्थानांतरण या अनधिकृत पहुंच घटनाओं से एक डिवाइस को जोड़ सकते हैं।
वॉल्यूम सीरियल नंबर एक फ़ाइल सिस्टम के विशिष्ट उदाहरण का ट्रैकिंग के लिए महत्वपूर्ण हो सकता है, जिसे विभिन्न उपकरणों पर फ़ाइल का मूल स्थान स्थापित करने की आवश्यकता होती है।
शटडाउन समय और गिनती (केवल XP के लिए) System\ControlSet001\Control\Windows
और System\ControlSet001\Control\Watchdog\Display
में रखी जाती हैं।
विस्तृत नेटवर्क इंटरफेस जानकारी के लिए, System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}
का संदर्भ दें।
पहली और आखिरी नेटवर्क कनेक्शन समय, व्यूपीएन कनेक्शन सहित, Software\Microsoft\Windows NT\CurrentVersion\NetworkList
में विभिन्न पथों के तहत लॉग किए गए हैं।
साझा फोल्डर और सेटिंग System\ControlSet001\Services\lanmanserver\Shares
के तहत हैं। क्लाइंट साइड कैशिंग (CSC) सेटिंग्स ऑफ़लाइन फ़ाइल उपलब्धता निर्धारित करती हैं।
पथ जैसे NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run
और Software\Microsoft\Windows\CurrentVersion
के तहत समान प्रविष्टियाँ विस्तार से विवरणित करती हैं जो स्टार्टअप पर चलाने के लिए सेट किए गए प्रोग्राम हैं।
एक्सप्लोरर खोज और टंकित पथ रजिस्ट्री में ट्रैक किए जाते हैं NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer
के तहत WordwheelQuery और TypedPaths के लिए।
हाल ही में दस्तावेज़ और ऑफिस फ़ाइलें जिनका उपयोग किया गया है, उन्हें नोट किया गया है NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
और विशेष ऑफिस संस्करण पथों में।
MRU सूचियाँ, हाल ही में फ़ाइल पथ और कमांड को दर्शाती हैं, विभिन्न ComDlg32
और Explorer
सबकी में NTUSER.DAT
के तहत संग्रहीत होती हैं।
यूज़र असिस्ट फ़ीचर विस्तृत एप्लिकेशन उपयोग स