Interesting Windows Registry Keys
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Software\Microsoft\Windows NT\CurrentVersion altında, Windows sürümünü, Servis Paketini, kurulum zamanını ve kayıtlı sahibin adını basit bir şekilde bulabilirsiniz.
Host adı System\ControlSet001\Control\ComputerName\ComputerName altında bulunur.
Sistem saat dilimi System\ControlSet001\Control\TimeZoneInformation içinde saklanır.
Varsayılan olarak, son erişim zamanı takibi kapalıdır (NtfsDisableLastAccessUpdate=1). Bunu etkinleştirmek için: fsutil behavior set disablelastaccess 0 kullanın.
Windows sürümü, sürümü (örneğin, Home, Pro) ve sürümünü (örneğin, Windows 10, Windows 11) gösterirken, Servis Paketleri düzeltmeler ve bazen yeni özellikler içeren güncellemeleridir.
Son erişim zamanı takibini etkinleştirmek, dosyaların en son ne zaman açıldığını görmenizi sağlar; bu, adli analiz veya sistem izleme için kritik olabilir.
Kayıt defteri, ağ yapılandırmaları hakkında kapsamlı veriler tutar; bunlar arasında ağ türleri (kablosuz, kablolu, 3G) ve ağ kategorileri (Halka Açık, Özel/Ev, Alan/İş) bulunur; bu bilgiler ağ güvenlik ayarlarını ve izinlerini anlamak için hayati öneme sahiptir.
CSC, paylaşılan dosyaların kopyalarını önbelleğe alarak çevrimdışı dosya erişimini artırır. Farklı CSCFlags ayarları, hangi dosyaların ve nasıl önbelleğe alınacağını kontrol eder; bu, özellikle kesintili bağlantıların olduğu ortamlarda performansı ve kullanıcı deneyimini etkiler.
Çeşitli Run ve RunOnce kayıt defteri anahtarlarında listelenen programlar, başlangıçta otomatik olarak başlatılır; bu, sistemin önyükleme süresini etkileyebilir ve kötü amaçlı yazılım veya istenmeyen yazılımları tanımlamak için ilgi noktaları olabilir.
Shellbags, yalnızca klasör görünüm tercihlerini saklamakla kalmaz, aynı zamanda klasör erişiminin adli kanıtını sağlar; bu, klasör artık mevcut olmasa bile geçerlidir. Diğer yollarla belirgin olmayan kullanıcı etkinliğini ortaya çıkarmak için araştırmalarda değerlidir.
Kayıt defterinde saklanan USB cihazlarıyla ilgili detaylar, bir bilgisayara hangi cihazların bağlandığını izlemeye yardımcı olabilir; bu, bir cihazı hassas dosya transferleri veya yetkisiz erişim olaylarıyla ilişkilendirebilir.
Hacim Seri Numarası, dosya sisteminin belirli bir örneğini izlemek için kritik olabilir; bu, dosya kökeninin farklı cihazlar arasında belirlenmesi gereken adli senaryolar için yararlıdır.
Kapatma zamanı ve sayısı (ikincisi yalnızca XP için) System\ControlSet001\Control\Windows ve System\ControlSet001\Control\Watchdog\Display içinde saklanır.
Ayrıntılı ağ arayüzü bilgileri için System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}'e bakın.
İlk ve son ağ bağlantı zamanları, VPN bağlantıları dahil olmak üzere, Software\Microsoft\Windows NT\CurrentVersion\NetworkList altında çeşitli yollarla kaydedilir.
Paylaşılan klasörler ve ayarlar System\ControlSet001\Services\lanmanserver\Shares altında bulunur. İstemci Tarafı Önbellekleme (CSC) ayarları, çevrimdışı dosya erişilebilirliğini belirler.
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run gibi yollar ve Software\Microsoft\Windows\CurrentVersion altında benzer girişler, başlangıçta çalışacak şekilde ayarlanmış programları detaylandırır.
Explorer aramaları ve yazılan yollar, NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer altında WordwheelQuery ve TypedPaths için kaydedilir.
Erişilen son belgeler ve Ofis dosyaları, NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs ve belirli Ofis sürüm yollarında not edilir.
Son dosya yollarını ve komutları gösteren MRU listeleri, NTUSER.DAT altında çeşitli ComDlg32 ve Explorer alt anahtarlarında saklanır.
Kullanıcı Yardımcı özelliği, NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count altında çalıştırma sayısı ve son çalıştırma zamanı dahil olmak üzere ayrıntılı uygulama kullanım istatistiklerini kaydeder.
Klasör erişim detaylarını ortaya çıkaran Shellbags, USRCLASS.DAT ve NTUSER.DAT altında Software\Microsoft\Windows\Shell içinde saklanır. Analiz için Shellbag Explorer kullanın.
HKLM\SYSTEM\ControlSet001\Enum\USBSTOR ve HKLM\SYSTEM\ControlSet001\Enum\USB bağlı USB cihazları hakkında zengin detaylar içerir; bunlar arasında üretici, ürün adı ve bağlantı zaman damgaları bulunur.
Belirli bir USB cihazıyla ilişkili kullanıcı, cihazın {GUID}'sini arayarak NTUSER.DAT hives'inde belirlenebilir.
Son bağlanan cihaz ve hacim seri numarası, sırasıyla System\MountedDevices ve Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt üzerinden izlenebilir.
Bu kılavuz, Windows sistemlerinde ayrıntılı sistem, ağ ve kullanıcı etkinliği bilgilerine erişim için kritik yolları ve yöntemleri özetlemektedir; açıklık ve kullanılabilirlik hedeflenmiştir.
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
