Interesting Windows Registry Keys

Ενδιαφέροντα Κλειδιά του Μητρώου των Windows

Υποστηρίξτε το HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Συμμετέχετε 💬 στην ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Κοινοποιήστε κόλπα χάκινγκ υποβάλλοντας PRs στα αποθετήρια του HackTricks και του HackTricks Cloud.

Έκδοση των Windows και Πληροφορίες Κατόχου

Στο Software\Microsoft\Windows NT\CurrentVersion, θα βρείτε την έκδοση των Windows, το Service Pack, την ώρα εγκατάστασης και το όνομα του εγγεγραμμένου κατόχου με απλό τρόπο.

Όνομα Υπολογιστή

Το όνομα του υπολογιστή βρίσκεται στο System\ControlSet001\Control\ComputerName\ComputerName.

Ρύθμιση Ζώνης Ώρας

Η ζώνη ώρας του συστήματος αποθηκεύεται στο System\ControlSet001\Control\TimeZoneInformation.

Καταγραφή Χρόνου Πρόσβασης

Από προεπιλογή, η καταγραφή του τελευταίου χρόνου πρόσβασης είναι απενεργοποιημένη (NtfsDisableLastAccessUpdate=1). Για να την ενεργοποιήσετε, χρησιμοποιήστε: fsutil behavior set disablelastaccess 0

Έκδοσεις Windows και Service Packs

Η έκδοση των Windows υποδεικνύει την έκδοση (π.χ., Home, Pro) και την κυκλοφορία της (π.χ., Windows 10, Windows 11), ενώ τα Service Packs είναι ενημερώσεις που περιλαμβάνουν διορθώσεις και, μερικές φορές, νέα χαρακτηριστικά.

Ενεργοποίηση Χρόνου Τελευταίας Πρόσβασης

Η ενεργοποίηση της καταγραφής του τελευταίου χρόνου πρόσβασης σας επιτρέπει να δείτε πότε ανοίχτηκαν τελευταία τα αρχεία, κάτι που μπορεί να είναι κρίσιμο για αναλύσεις ψηφιακής δικονομίας ή παρακολούθηση συστήματος.

Λεπτομέρειες Πληροφοριών Δικτύου

Το μητρώο περιέχει εκτεταμένα δεδομένα σχετικά με τις ρυθμίσεις δικτύου, συμπεριλαμβανομένων των τύπων δικτύων (ασύρματα, καλώδια, 3G) και των κατηγοριών δικτύου (Δημόσιο, Ιδιωτικό/Οικιακό, Domain/Εργασίας), τα οποία είναι ζωτικής σημασίας για την κατανόηση των ρυθμίσεων ασφαλείας δικτύου και των δικαιωμάτων.

Πρόγραμμα Αυτόματης Εκκίνησης

Τα προγράμματα που αναφέρονται σε διάφορα κλειδιά του μητρώου Run και RunOnce εκκινούν αυτόματα κατά την εκκίνηση, επηρεάζοντας τον χρόνο εκκίνησης του συστήματος και ενδεχομένως αποτελώντας σημεία ενδιαφέροντος για την αναγνώριση κακόβουλου λογισμικού ή μη επιθυμητού λογισμικού.

Shellbags

Τα Shellbags όχι μόνο αποθηκεύουν προτιμήσεις για την προβολή φακέλων, αλλά παρέχουν επίσης αποδεικτικά στοιχεία ψηφιακής δικονομίας για την πρόσβαση σε φάκελο ακόμα και αν ο φάκελος δεν υπάρχει πλέον. Είναι ανεκτίμητα για έρευνες, αποκαλύπτοντας δραστηριότητες χρήστη που δεν είναι προφανείς με άλλα μέσα.

Πληροφορίες USB και Ψηφιακή Δικονομία

Οι λεπτομέρειες που αποθηκεύονται στο μητρώο σχετικά με τις συσκευές USB μπορούν να βοηθήσουν στην εντοπισμό των συσκευών που συνδέθηκαν σε έναν υπολογιστή, πιθανώς συνδέοντας μια συσκευή με ευαίσθητες μεταφορές αρχείων ή περιστατικά μη εξουσιοδοτημένης πρόσβασης.

Αριθμός Σειριακού Όγκου

Ο Αριθμός Σειριακού Όγκου μπορεί να είναι κρίσιμος για την παρακολούθηση της συγκεκριμένης περίπτωσης ενός συστήματος αρχείων, χρήσιμος σε ψηφιακά σενάρια όπου χρειάζεται να καθοριστεί η προέλευση του αρχείου σε διαφορετικές συσκευές.

Λεπτομέρειες Κλειδώματος

Ο χρόνος κλεισίματος και ο αριθμός (μόνο για XP) κρατούνται στα System\ControlSet001\Control\Windows και System\ControlSet001\Control\Watchdog\Display.

Ρύθμιση Δικτύου

Για λεπτομερείς πληροφορίες διεπαφής δικτύου, ανατρέξτε στο System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}.
Οι πρώτες και τελευταίες χρόνοι σύνδεσης στο δίκτυο, συμπεριλαμβανομένων των συνδέσεων VPN, καταγράφονται σε διάφορα μονοπάτια στο Software\Microsoft\Windows NT\CurrentVersion\NetworkList.

Κοινόχρηστοι Φάκελοι

Οι κοινόχρηστοι φάκελοι και οι ρυθμίσεις βρίσκονται στο System\ControlSet001\Services\lanmanserver\Shares. Οι ρυθμίσεις Κοινής Πλευράς Κρυφής (CSC) καθορίζουν τη διαθεσιμότητα αρχείων εκτός σύνδεσης.

Προγράμματα που Ξεκινούν Αυτόματα

Μονοπάτια όπως NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run και παρόμοιες καταχωρήσεις κάτω από Software\Microsoft\Windows\CurrentVersion λεπτομερούν προγράμματα που έχουν οριστεί να τρέχουν κατά την εκκίνηση.

Αναζητήσεις και Πληκτρολογημένα Μονοπάτια

Οι αναζητήσεις του Explorer και τα πληκτρολογημένα μονοπάτια καταγράφονται στο μητρώο κάτω από NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer για τα WordwheelQuery και TypedPaths, αντίστοιχα.

Πρόσφατα Έγγραφα και Αρχεία Office

Τα πρόσφατα έγγραφα και τα αρχεία Office που έχουν ανατεθεί πρόσβαση καταγράφονται στο NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs και σε συγκεκριμένα μονοπάτια εκδόσεων Office.

Στοιχεία Που Χρησιμοποιήθηκαν Πρόσφατα (MRU)

Οι λίστες MRU, που υποδεικνύουν πρόσφατα μονοπάτια αρχείων και εντολές, αποθηκεύονται σε διάφορα υποκλειδιά ComDlg32 και Explorer κάτω από το NTUSER.DAT.

Καταγραφή Δραστηριότητας Χρήστη

Το χαρακτηριστικό User Assist καταγράφει λεπτομερείς στατιστικές χρ

PreviousWindows Artifacts NextBrute Force - CheatSheet

Last updated 1 month ago