Interesting Windows Registry Keys
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Iko kwenye Software\Microsoft\Windows NT\CurrentVersion, utapata toleo la Windows, Service Pack, wakati wa usakinishaji, na jina la mmiliki aliyejiandikisha kwa njia rahisi.
Jina la mwenyeji linapatikana chini ya System\ControlSet001\Control\ComputerName\ComputerName.
Kanda ya muda ya mfumo imehifadhiwa katika System\ControlSet001\Control\TimeZoneInformation.
Kwa kawaida, ufuatiliaji wa wakati wa mwisho wa ufikiaji umezimwa (NtfsDisableLastAccessUpdate=1). Ili kuuwezesha, tumia: fsutil behavior set disablelastaccess 0
Toleo la Windows linaonyesha toleo (mfano, Home, Pro) na kutolewa kwake (mfano, Windows 10, Windows 11), wakati Service Packs ni masasisho yanayojumuisha marekebisho na, wakati mwingine, vipengele vipya.
Kuwawezesha ufuatiliaji wa wakati wa mwisho wa ufikiaji kunakuwezesha kuona wakati faili zilifunguliwa kwa mara ya mwisho, ambayo inaweza kuwa muhimu kwa uchambuzi wa forensics au ufuatiliaji wa mfumo.
Usajili una data kubwa kuhusu usanidi wa mtandao, ikiwa ni pamoja na aina za mitandao (wireless, cable, 3G) na makundi ya mtandao (Public, Private/Home, Domain/Work), ambayo ni muhimu kwa kuelewa mipangilio ya usalama wa mtandao na ruhusa.
CSC inaboresha ufikiaji wa faili za mbali kwa kuhifadhi nakala za faili zilizoshirikiwa. Mipangilio tofauti ya CSCFlags inasimamia jinsi na ni faili zipi zinazohifadhiwa, ikihusisha utendaji na uzoefu wa mtumiaji, hasa katika mazingira yenye muunganisho wa muda mfupi.
Programu zilizoorodheshwa katika funguo mbalimbali za Run na RunOnce za usajili zinaanzishwa moja kwa moja wakati wa kuanzisha, zikihusisha muda wa kuanzisha mfumo na kuwa maeneo ya kupigiwa mfano kwa kutambua malware au programu zisizohitajika.
Shellbags sio tu hifadhi mapendeleo ya maoni ya folda bali pia hutoa ushahidi wa forensics wa ufikiaji wa folda hata kama folda hiyo haipo tena. Ni muhimu kwa uchunguzi, ikifunua shughuli za mtumiaji ambazo hazionekani kwa njia nyingine.
Maelezo yaliyohifadhiwa katika usajili kuhusu vifaa vya USB yanaweza kusaidia kufuatilia ni vifaa gani vilivyounganishwa kwenye kompyuta, ikihusisha kifaa na uhamishaji wa faili nyeti au matukio ya ufikiaji usioidhinishwa.
Nambari ya Mfululizo wa Kiasi inaweza kuwa muhimu kwa kufuatilia tukio maalum la mfumo wa faili, inayofaa katika hali za forensics ambapo asili ya faili inahitaji kuanzishwa kati ya vifaa tofauti.
Wakati wa kuzima na hesabu (hii ya mwisho tu kwa XP) huhifadhiwa katika System\ControlSet001\Control\Windows na System\ControlSet001\Control\Watchdog\Display.
Kwa maelezo ya kina ya kiunganishi cha mtandao, rejelea System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}.
Wakati wa kwanza na wa mwisho wa muunganisho wa mtandao, ikiwa ni pamoja na muunganisho wa VPN, umeandikwa chini ya njia mbalimbali katika Software\Microsoft\Windows NT\CurrentVersion\NetworkList.
Folda na mipangilio zilizoshirikiwa ziko chini ya System\ControlSet001\Services\lanmanserver\Shares. Mipangilio ya Client Side Caching (CSC) inaamuru upatikanaji wa faili za mbali.
Njia kama NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run na entries zinazofanana chini ya Software\Microsoft\Windows\CurrentVersion zinaelezea programu zilizowekwa kuanzishwa wakati wa kuanzisha.
Utafutaji wa Explorer na njia zilizotajwa zinafuatiliwa katika usajili chini ya NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer kwa WordwheelQuery na TypedPaths, mtawalia.
Hati za hivi karibuni na faili za Ofisi zilizofikiwa zimeandikwa katika NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs na njia maalum za toleo la Ofisi.
Orodha za MRU, zikionyesha njia za faili za hivi karibuni na amri, zimehifadhiwa katika funguo mbalimbali za ComDlg32 na Explorer chini ya NTUSER.DAT.
Kipengele cha User Assist kinarekodi takwimu za kina za matumizi ya programu, ikiwa ni pamoja na hesabu ya kuendesha na wakati wa mwisho wa kuendesha, katika NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count.
Shellbags, zikifunua maelezo ya ufikiaji wa folda, zimehifadhiwa katika USRCLASS.DAT na NTUSER.DAT chini ya Software\Microsoft\Windows\Shell. Tumia Shellbag Explorer kwa uchambuzi.
HKLM\SYSTEM\ControlSet001\Enum\USBSTOR na HKLM\SYSTEM\ControlSet001\Enum\USB zina maelezo mengi kuhusu vifaa vya USB vilivyounganishwa, ikiwa ni pamoja na mtengenezaji, jina la bidhaa, na wakati wa muunganisho.
Mtumiaji anayehusishwa na kifaa maalum cha USB anaweza kupatikana kwa kutafuta hives za NTUSER.DAT kwa {GUID} ya kifaa.
Kifaa cha mwisho kilichounganishwa na nambari yake ya mfululizo wa kiasi kinaweza kufuatiliwa kupitia System\MountedDevices na Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt, mtawalia.
This guide condenses the crucial paths and methods for accessing detailed system, network, and user activity information on Windows systems, aiming for clarity and usability.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
