Interesting Windows Registry Keys
Last updated
Last updated
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Розташована за адресою Software\Microsoft\Windows NT\CurrentVersion, ви знайдете версію Windows, Service Pack, час установки та ім'я зареєстрованого власника у зрозумілій формі.
Ім'я хоста знаходиться під System\ControlSet001\Control\ComputerName\ComputerName.
Часовий пояс системи зберігається в System\ControlSet001\Control\TimeZoneInformation.
За замовчуванням, відстеження останнього часу доступу вимкнено (NtfsDisableLastAccessUpdate=1). Щоб увімкнути його, використовуйте: fsutil behavior set disablelastaccess 0
Версія Windows вказує на вид (наприклад, Home, Pro) та його випуск (наприклад, Windows 10, Windows 11), тоді як Service Packs є оновленнями, які включають виправлення та, іноді, нові функції.
Увімкнення відстеження часу останнього доступу дозволяє бачити, коли файли були востаннє відкриті, що може бути критично важливим для судової експертизи або моніторингу системи.
Реєстр містить обширні дані про мережеві конфігурації, включаючи типи мереж (бездротові, кабельні, 3G) та категорії мереж (Публічна, Приватна/Домашня, Доменна/Робоча), які є важливими для розуміння налаштувань безпеки мережі та дозволів.
CSC покращує доступ до офлайн-файлів, кешуючи копії спільних файлів. Різні налаштування CSCFlags контролюють, як і які файли кешуються, впливаючи на продуктивність та досвід користувача, особливо в середовищах з переривчастим з'єднанням.
Програми, перераховані в різних ключах реєстру Run та RunOnce, автоматично запускаються під час завантаження, впливаючи на час завантаження системи та потенційно будучи точками інтересу для виявлення шкідливого програмного забезпечення або небажаного програмного забезпечення.
Shellbags не лише зберігають налаштування для перегляду папок, але й надають судову експертизу доступу до папок, навіть якщо папка більше не існує. Вони є безцінними для розслідувань, виявляючи активність користувача, яка не є очевидною через інші засоби.
Деталі, збережені в реєстрі про USB-пристрої, можуть допомогти відстежити, які пристрої були підключені до комп'ютера, потенційно пов'язуючи пристрій з чутливими передачами файлів або інцидентами несанкціонованого доступу.
Серійний номер тому може бути критично важливим для відстеження конкретного екземпляра файлової системи, корисним у судових сценаріях, де потрібно встановити походження файлу на різних пристроях.
Час завершення роботи та кількість (остання лише для XP) зберігаються в System\ControlSet001\Control\Windows та System\ControlSet001\Control\Watchdog\Display.
Для детальної інформації про мережеві інтерфейси зверніться до System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}.
Перші та останні часи підключення до мережі, включаючи VPN-з'єднання, реєструються під різними шляхами в Software\Microsoft\Windows NT\CurrentVersion\NetworkList.
Спільні папки та налаштування знаходяться під System\ControlSet001\Services\lanmanserver\Shares. Налаштування кешування на стороні клієнта (CSC) визначають доступність офлайн-файлів.
Шляхи, такі як NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run та подібні записи під Software\Microsoft\Windows\CurrentVersion, детально описують програми, які налаштовані на запуск під час завантаження.
Пошуки в Провіднику та введені шляхи відстежуються в реєстрі під NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer для WordwheelQuery та TypedPaths відповідно.
Недавні документи та файли Office, до яких було отримано доступ, зазначені в NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs та специфічних шляхах версії Office.
Списки MRU, що вказують на нещодавні шляхи файлів та команди, зберігаються в різних підключах ComDlg32 та Explorer під NTUSER.DAT.
Функція User Assist реєструє детальну статистику використання програм, включаючи кількість запусків та час останнього запуску, за адресою NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count.
Shellbags, що розкривають деталі доступу до папок, зберігаються в USRCLASS.DAT та NTUSER.DAT під Software\Microsoft\Windows\Shell. Використовуйте Shellbag Explorer для аналізу.
HKLM\SYSTEM\ControlSet001\Enum\USBSTOR та HKLM\SYSTEM\ControlSet001\Enum\USB містять багаті деталі про підключені USB-пристрої, включаючи виробника, назву продукту та часові мітки підключення.
Користувача, пов'язаного з конкретним USB-пристроєм, можна визначити, шукаючи в хівах NTUSER.DAT для {GUID} пристрою.
Останній змонтований пристрій та його серійний номер тому можна відстежити через System\MountedDevices та Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt відповідно.
Цей посібник узагальнює ключові шляхи та методи для доступу до детальної інформації про систему, мережу та активність користувачів на системах Windows, прагнучи до ясності та зручності використання.
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
