Interesting Windows Registry Keys
Interessanti Chiavi di Registro di Windows
Versione di Windows e Informazioni sul Proprietario
Situato in
Software\Microsoft\Windows NT\CurrentVersion
, troverai la versione di Windows, il Service Pack, l'ora di installazione e il nome del proprietario registrato in modo diretto.
Nome del Computer
L'hostname si trova in
System\ControlSet001\Control\ComputerName\ComputerName
.
Impostazione del Fuso Orario
Il fuso orario del sistema è memorizzato in
System\ControlSet001\Control\TimeZoneInformation
.
Tracciamento dell'Ora di Accesso
Di default, il tracciamento dell'ora di accesso dell'ultimo accesso è disattivato (
NtfsDisableLastAccessUpdate=1
). Per abilitarlo, utilizza:fsutil behavior set disablelastaccess 0
Versioni di Windows e Service Pack
La versione di Windows indica l'edizione (ad esempio, Home, Pro) e la sua release (ad esempio, Windows 10, Windows 11), mentre i Service Pack sono aggiornamenti che includono correzioni e, talvolta, nuove funzionalità.
Abilitazione dell'Ora di Accesso dell'Ultimo Accesso
L'abilitazione del tracciamento dell'ora di accesso dell'ultimo accesso consente di vedere quando i file sono stati aperti per l'ultima volta, il che può essere fondamentale per l'analisi forense o il monitoraggio del sistema.
Dettagli sulle Informazioni di Rete
Il registro contiene dati estesi sulle configurazioni di rete, inclusi tipi di reti (wireless, cavo, 3G) e categorie di rete (Pubblica, Privata/Casa, Dominio/Lavoro), che sono fondamentali per la comprensione delle impostazioni di sicurezza e delle autorizzazioni di rete.
Caching del Lato Client (CSC)
CSC migliora l'accesso ai file offline memorizzando copie di file condivisi. Diverse impostazioni di CSCFlags controllano come e quali file vengono memorizzati nella cache, influenzando le prestazioni e l'esperienza dell'utente, specialmente in ambienti con connettività intermittente.
Programmi di Avvio Automatico
I programmi elencati in varie chiavi di registro
Run
eRunOnce
vengono avviati automaticamente all'avvio, influenzando il tempo di avvio del sistema e potenzialmente rappresentando punti di interesse per l'individuazione di malware o software indesiderato.
Shellbags
Le Shellbags non solo memorizzano le preferenze per le visualizzazioni delle cartelle, ma forniscono anche prove forensi dell'accesso alle cartelle anche se la cartella non esiste più. Sono preziose per le indagini, rivelando l'attività dell'utente che non è evidente attraverso altri mezzi.
Informazioni e Forensic sulle Periferiche USB
I dettagli memorizzati nel registro sulle periferiche USB possono aiutare a tracciare quali periferiche sono state collegate a un computer, collegando potenzialmente una periferica a trasferimenti di file sensibili o incidenti di accesso non autorizzato.
Numero di Serie del Volume
Il Numero di Serie del Volume può essere cruciale per tracciare l'istanza specifica di un sistema di file, utile in scenari forensi in cui è necessario stabilire l'origine del file su diversi dispositivi.
Dettagli di Spegnimento
L'ora di spegnimento e il conteggio (solo per XP) vengono conservati in
System\ControlSet001\Control\Windows
eSystem\ControlSet001\Control\Watchdog\Display
.
Configurazione di Rete
Per informazioni dettagliate sull'interfaccia di rete, fare riferimento a
System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}
.I tempi di prima e ultima connessione di rete, inclusa la connessione VPN, vengono registrati in vari percorsi in
Software\Microsoft\Windows NT\CurrentVersion\NetworkList
.
Cartelle Condivise
Le cartelle condivise e le impostazioni si trovano in
System\ControlSet001\Services\lanmanserver\Shares
. Le impostazioni di Caching del Lato Client (CSC) determinano la disponibilità dei file offline.
Programmi che si Avviano Automaticamente
Percorsi come
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run
e voci simili inSoftware\Microsoft\Windows\CurrentVersion
dettagliano i programmi impostati per l'avvio automatico.
Ricerche e Percorsi Digitati
Le ricerche dell'Esplora risorse e i percorsi digitati vengono tracciati nel registro in
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer
per WordwheelQuery e TypedPaths, rispettivamente.
Documenti Recenti e File di Office
I documenti recenti e i file di Office a cui si è acceduto vengono registrati in
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
e in percorsi specifici delle versioni di Office.
Elementi Utilizzati Più di Recente (MRU)
Le liste MRU, che indicano i percorsi e i comandi dei file recenti, vengono memorizzate in varie sottochiavi
ComDlg32
eExplorer
inNTUSER.DAT
.
Tracciamento dell'Attività dell'Utente
La funzionalità User Assist registra statistiche dettagliate sull'utilizzo delle applicazioni, inclusi il conteggio di esecuzione e l'ultima ora di esecuzione, in
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count
.
Analisi delle Shellbags
Le Shellbags, che rivelano i dettagli dell'accesso alle cartelle, sono memorizzate in
USRCLASS.DAT
eNTUSER.DAT
inSoftware\Microsoft\Windows\Shell
. Utilizza Shellbag Explorer per l'analisi.
Cronologia delle Periferiche USB
HKLM\SYSTEM\ControlSet001\Enum\USBSTOR
eHKLM\SYSTEM\ControlSet001\Enum\USB
contengono dettagli completi sulle periferiche USB collegate, inclusi il produttore, il nome del prodotto e i timestamp di connessione.L'utente associato a una specifica periferica USB può essere individuato cercando nelle chiavi di registro
NTUSER.DAT
il {GUID} della periferica.L'ultima periferica montata e il suo numero di serie del volume possono essere tracciati tramite
System\MountedDevices
eSoftware\Microsoft\Windows NT\CurrentVersion\EMDMgmt
, rispettivamente
Last updated