Interesting Windows Registry Keys
Last updated
Last updated
Jifunze na zoezi la Udukuzi wa AWS:Mafunzo ya HackTricks AWS Timu Nyekundu Mtaalam (ARTE) Jifunze na zoezi la Udukuzi wa GCP: Mafunzo ya HackTricks GCP Timu Nyekundu Mtaalam (GRTE)
Iko katika Software\Microsoft\Windows NT\CurrentVersion, utapata toleo la Windows, Pakiti ya Huduma, wakati wa usakinishaji, na jina la mmiliki aliyesajiliwa kwa njia rahisi.
Jina la mwenyeji linapatikana chini ya System\ControlSet001\Control\ComputerName\ComputerName.
Muda wa eneo la mfumo unahifadhiwa katika System\ControlSet001\Control\TimeZoneInformation.
Kwa chaguo-msingi, ufuatiliaji wa muda wa mwisho wa ufikiaji umezimwa (NtfsDisableLastAccessUpdate=1). Ili kuwezesha, tumia: fsutil behavior set disablelastaccess 0
Toleo la Windows linaonyesha toleo (k.m., Home, Pro) na kutolewa kwake (k.m., Windows 10, Windows 11), wakati Pakiti za Huduma ni sasisho zinazojumuisha marekebisho na, mara nyingine, vipengele vipya.
Kuwezesha ufuatiliaji wa muda wa mwisho wa ufikiaji kunakuwezesha kuona lini faili zilifunguliwa mwisho, jambo ambalo linaweza kuwa muhimu kwa uchambuzi wa kiforensiki au ufuatiliaji wa mfumo.
Usajili unashikilia data kubwa kuhusu mipangilio ya mtandao, ikiwa ni pamoja na aina za mitandao (bila waya, kebo, 3G) na makundi ya mtandao (Umma, Binafsi/Nyumbani, Kikoa/Kazi), ambayo ni muhimu kwa kuelewa mipangilio ya usalama wa mtandao na ruhusa.
CSC inaboresha ufikio wa faili nje ya mtandao kwa kuhifadhi nakala za faili zilizoshirikiwa. Mipangilio tofauti ya CSCFlags inadhibiti jinsi na ni faili gani zilizohifadhiwa, ikiaathiri utendaji na uzoefu wa mtumiaji, hasa katika mazingira yenye mawasiliano ya muda mfupi.
Programu zilizoorodheshwa katika funguo za usajili za Run na RunOnce zinaanzishwa kiotomatiki wakati wa kuanza, zikiathiri wakati wa kuanza wa mfumo na kuwa sehemu za kuvutia kwa kutambua zisizo programu hasidi au programu zisizohitajika.
Shellbags sio tu hifadhi mapendeleo ya maoni ya folda bali pia hutoa ushahidi wa kiforensiki wa ufikiaji wa folda hata kama folda haipo tena. Wanakuwa muhimu kwa uchunguzi, kufunua shughuli za mtumiaji ambazo si wazi kupitia njia nyingine.
Maelezo yaliyohifadhiwa katika usajili kuhusu vifaa vya USB vinaweza kusaidia kufuatilia ni vifaa vipi vilivyokuwa vimeunganishwa kwenye kompyuta, ikilinganisha kifaa na uhamisho wa faili nyeti au matukio ya ufikiaji usiohalali.
Nambari ya Serial ya Kiasi inaweza kuwa muhimu kufuatilia kipindi maalum cha mfumo wa faili, ikiwa ni muhimu katika mazingira ya kiforensiki ambapo asili ya faili inahitaji kubainishwa kwenye vifaa tofauti.
Wakati wa kuzimwa na idadi (ya mwisho tu kwa XP) zinahifadhiwa katika System\ControlSet001\Control\Windows na System\ControlSet001\Control\Watchdog\Display.
Kwa maelezo ya kina ya kiolesura cha mtandao, tazama System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}.
Nyakati za kwanza na za mwisho za uunganisho wa mtandao, ikiwa ni pamoja na uunganisho wa VPN, zinarekodiwa chini ya njia mbalimbali katika Software\Microsoft\Windows NT\CurrentVersion\NetworkList.
Folda zilizoshirikiwa na mipangilio zinapatikana chini ya System\ControlSet001\Services\lanmanserver\Shares. Mipangilio ya Kache ya Upande wa Mteja (CSC) inadhibiti upatikanaji wa faili nje ya mtandao.
Njia kama NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run na vipengele sawa chini ya Software\Microsoft\Windows\CurrentVersion hufafanua programu zilizowekwa kuanza kiotomatiki.
Utafutaji wa Explorer na njia zilizotumiwa zinachunguzwa katika usajili chini ya NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer kwa WordwheelQuery na TypedPaths, mtawalia.
Nyaraka za hivi karibuni na faili za Ofisi zilizofikiwa zinaorodheshwa katika NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs na njia maalum za toleo la Ofisi.
Orodha za MRU, zikionyesha njia za hivi karibuni za faili na amri, zinahifadhiwa katika funguo mbalimbali za chini ya ComDlg32 na Explorer chini ya NTUSER.DAT.
Kipengele cha User Assist kinahifadhi takwimu za matumizi ya programu kwa undani, ikiwa ni pamoja na idadi ya matumizi na wakati wa mwisho wa matumizi, katika NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count.
Shellbags, zinazoonyesha maelezo ya ufikiaji wa folda, zinahifadhiwa katika USRCLASS.DAT na NTUSER.DAT chini ya Software\Microsoft\Windows\Shell. Tumia Shellbag Explorer kwa uchambuzi.
HKLM\SYSTEM\ControlSet001\Enum\USBSTOR na HKLM\SYSTEM\ControlSet001\Enum\USB zina maelezo mengi kuhusu vifaa vya USB vilivyounganishwa, ikiwa ni pamoja na mtengenezaji, jina la bidhaa, na muda wa uunganisho.
Mtumiaji aliyeunganishwa na kifaa maalum cha USB anaweza kugunduliwa kwa kutafuta mizinga ya NTUSER.DAT kwa {GUID} ya kifaa.
Kifaa kilichomount mwisho na nambari yake ya serial ya kiasi vinaweza kufuatiliwa kupitia System\MountedDevices na Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt, mtawalia.
Mwongozo huu unakusanya njia muhimu na mbinu za kupata maelezo ya kina ya mfumo, mtandao, na shughuli za mtumiaji kwenye mifumo ya Windows, ukiwa na lengo la uwazi na matumizi rahisi.
Jifunze na zoezi la Udukuzi wa AWS:Mafunzo ya HackTricks AWS Timu Nyekundu Mtaalam (ARTE) Jifunze na zoezi la Udukuzi wa GCP: Mafunzo ya HackTricks GCP Timu Nyekundu Mtaalam (GRTE)
