Interesting Windows Registry Keys
Last updated
Last updated
Impara e pratica Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Situato in Software\Microsoft\Windows NT\CurrentVersion, troverai la versione di Windows, il Service Pack, l'orario di installazione e il nome del proprietario registrato in modo chiaro.
Il nome host si trova sotto System\ControlSet001\Control\ComputerName\ComputerName.
Il fuso orario del sistema è memorizzato in System\ControlSet001\Control\TimeZoneInformation.
Di default, il tracciamento dell'ultimo accesso è disattivato (NtfsDisableLastAccessUpdate=1). Per abilitarlo, usa: fsutil behavior set disablelastaccess 0
La versione di Windows indica l'edizione (ad es., Home, Pro) e la sua release (ad es., Windows 10, Windows 11), mentre i Service Pack sono aggiornamenti che includono correzioni e, a volte, nuove funzionalità.
Abilitare il tracciamento dell'ultimo accesso consente di vedere quando i file sono stati aperti per l'ultima volta, il che può essere fondamentale per l'analisi forense o il monitoraggio del sistema.
Il registro contiene dati estesi sulle configurazioni di rete, inclusi tipi di reti (wireless, cavo, 3G) e categorie di rete (Pubblica, Privata/Casa, Dominio/Lavoro), che sono vitali per comprendere le impostazioni di sicurezza della rete e le autorizzazioni.
CSC migliora l'accesso ai file offline memorizzando copie di file condivisi. Diverse impostazioni di CSCFlags controllano come e quali file vengono memorizzati nella cache, influenzando le prestazioni e l'esperienza dell'utente, specialmente in ambienti con connettività intermittente.
I programmi elencati in varie chiavi di registro Run e RunOnce vengono avviati automaticamente all'avvio, influenzando il tempo di avvio del sistema e potenzialmente essendo punti di interesse per identificare malware o software indesiderato.
Shellbags non solo memorizzano le preferenze per le visualizzazioni delle cartelle, ma forniscono anche prove forensi di accesso alle cartelle anche se la cartella non esiste più. Sono inestimabili per le indagini, rivelando attività dell'utente che non è ovvia attraverso altri mezzi.
I dettagli memorizzati nel registro sui dispositivi USB possono aiutare a tracciare quali dispositivi sono stati collegati a un computer, potenzialmente collegando un dispositivo a trasferimenti di file sensibili o incidenti di accesso non autorizzato.
Il Numero di Serie del Volume può essere cruciale per tracciare l'istanza specifica di un file system, utile in scenari forensi in cui è necessario stabilire l'origine del file su diversi dispositivi.
L'orario di spegnimento e il conteggio (quest'ultimo solo per XP) sono conservati in System\ControlSet001\Control\Windows e System\ControlSet001\Control\Watchdog\Display.
Per informazioni dettagliate sull'interfaccia di rete, fare riferimento a System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}.
I tempi di connessione di rete, inclusi i collegamenti VPN, sono registrati sotto vari percorsi in Software\Microsoft\Windows NT\CurrentVersion\NetworkList.
Le cartelle condivise e le impostazioni si trovano sotto System\ControlSet001\Services\lanmanserver\Shares. Le impostazioni di Caching Lato Client (CSC) determinano la disponibilità dei file offline.
Percorsi come NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run e voci simili sotto Software\Microsoft\Windows\CurrentVersion dettagliano i programmi impostati per essere eseguiti all'avvio.
Le ricerche di Explorer e i percorsi digitati sono tracciati nel registro sotto NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer per WordwheelQuery e TypedPaths, rispettivamente.
I documenti recenti e i file di Office accessibili sono annotati in NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs e percorsi specifici della versione di Office.
Le liste MRU, che indicano i percorsi e i comandi dei file recenti, sono memorizzate in varie sottochiavi ComDlg32 e Explorer sotto NTUSER.DAT.
La funzione User Assist registra statistiche dettagliate sull'uso delle applicazioni, inclusi conteggi di esecuzione e orario dell'ultima esecuzione, in NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count.
Le shellbags, che rivelano dettagli sull'accesso alle cartelle, sono memorizzate in USRCLASS.DAT e NTUSER.DAT sotto Software\Microsoft\Windows\Shell. Usa Shellbag Explorer per l'analisi.
HKLM\SYSTEM\ControlSet001\Enum\USBSTOR e HKLM\SYSTEM\ControlSet001\Enum\USB contengono dettagli ricchi sui dispositivi USB collegati, inclusi produttore, nome del prodotto e timestamp di connessione.
L'utente associato a un dispositivo USB specifico può essere individuato cercando nei registri NTUSER.DAT per il {GUID} del dispositivo.
L'ultimo dispositivo montato e il suo numero di serie del volume possono essere tracciati attraverso System\MountedDevices e Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt, rispettivamente.
Questa guida riassume i percorsi cruciali e i metodi per accedere a informazioni dettagliate sul sistema, sulla rete e sull'attività dell'utente sui sistemi Windows, puntando alla chiarezza e all'usabilità.
Impara e pratica Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
