Interesting Windows Registry Keys
Interesujące klucze rejestru systemu Windows
Informacje o wersji systemu Windows i właścicielu
W lokalizacji
Software\Microsoft\Windows NT\CurrentVersion
znajdziesz informacje o wersji systemu Windows, Service Pack, czasie instalacji oraz nazwie zarejestrowanego właściciela w prosty sposób.
Nazwa komputera
Nazwa hosta znajduje się pod
System\ControlSet001\Control\ComputerName\ComputerName
.
Ustawienia strefy czasowej
Strefa czasowa systemu jest przechowywana w
System\ControlSet001\Control\TimeZoneInformation
.
Śledzenie czasu dostępu
Domyślnie śledzenie ostatniego czasu dostępu jest wyłączone (
NtfsDisableLastAccessUpdate=1
). Aby je włączyć, użyj:fsutil behavior set disablelastaccess 0
Wersje systemu Windows i Service Packi
Wersja systemu Windows wskazuje na edycję (np. Home, Pro) i jej wydanie (np. Windows 10, Windows 11), natomiast Service Packi to aktualizacje zawierające poprawki i czasem nowe funkcje.
Włączanie śledzenia ostatniego dostępu
Włączenie śledzenia ostatniego dostępu pozwala zobaczyć, kiedy pliki były ostatnio otwierane, co może być kluczowe dla analizy śledczej lub monitorowania systemu.
Szczegóły informacji o sieci
Rejestr przechowuje obszerne dane na temat konfiguracji sieci, w tym rodzaje sieci (bezprzewodowe, kablowe, 3G) i kategorie sieci (Publiczna, Prywatna/Domowa, Domenowa/Pracowa), które są istotne dla zrozumienia ustawień zabezpieczeń sieciowych i uprawnień.
Buforowanie po stronie klienta (CSC)
CSC poprawia dostęp do plików w trybie offline poprzez buforowanie kopii udostępnionych plików. Różne ustawienia CSCFlags kontrolują sposób i jakie pliki są buforowane, wpływając na wydajność i doświadczenie użytkownika, zwłaszcza w środowiskach z niestabilnym połączeniem.
Programy uruchamiane automatycznie
Programy wymienione w różnych kluczach rejestru
Run
iRunOnce
są automatycznie uruchamiane podczas startu systemu, wpływając na czas uruchamiania systemu i potencjalnie będąc punktami zainteresowania do identyfikacji oprogramowania złośliwego lub niechcianego.
Shellbags
Shellbags przechowują nie tylko preferencje widoków folderów, ale także dostarczają dowodów śledczych na dostęp do folderów, nawet jeśli folder już nie istnieje. Są nieocenione w dochodzeniach, ujawniając aktywność użytkownika, która nie jest oczywista w inny sposób.
Informacje i śledztwo dotyczące urządzeń USB
Szczegóły przechowywane w rejestrze na temat urządzeń USB mogą pomóc w śledzeniu, które urządzenia były podłączone do komputera, potencjalnie łącząc urządzenie z transferami plików o wrażliwej zawartości lub incydentami nieautoryzowanego dostępu.
Numer seryjny woluminu
Numer seryjny woluminu może być kluczowy do śledzenia konkretnego wystąpienia systemu plików, przydatny w scenariuszach śledczych, gdzie trzeba ustalić pochodzenie pliku na różnych urządzeniach.
Szczegóły wyłączania
Czas wyłączenia i liczba (tylko dla XP) są przechowywane w
System\ControlSet001\Control\Windows
iSystem\ControlSet001\Control\Watchdog\Display
.
Konfiguracja sieci
Dla szczegółowych informacji o interfejsie sieciowym, odwołaj się do
System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}
.Pierwsze i ostatnie czasy połączenia sieciowego, w tym połączenia VPN, są rejestrowane pod różnymi ścieżkami w
Software\Microsoft\Windows NT\CurrentVersion\NetworkList
.
Udostępnione foldery
Udostępnione foldery i ustawienia znajdują się pod
System\ControlSet001\Services\lanmanserver\Shares
. Ustawienia buforowania po stronie klienta (CSC) określają dostępność plików w trybie offline.
Programy uruchamiane automatycznie
Ścieżki takie jak
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run
i podobne wpisy wSoftware\Microsoft\Windows\CurrentVersion
szczegółowo opisują programy ustawione do uruchomienia podczas startu.
Wyszukiwania i wpisane ścieżki
Wyszukiwania i wpisane ścieżki w eksploratorze są śledzone w rejestrze pod
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer
dla WordwheelQuery i TypedPaths, odpowiednio.
Ostatnio używane dokumenty i pliki biurowe
Ostatnio używane dokumenty i pliki biurowe są odnotowane w
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
oraz w określonych ścieżkach wersji Office.
Ostatnio używane elementy (MRU)
Listy MRU, wskazujące ostatnie ścieżki plików i polecenia, są przechowywane w różnych podkluczach
ComDlg32
iExplorer
wNTUSER.DAT
.
Śledzenie aktywności użytkownika
Funkcja User Assist rejestruje szczegółowe statystyki użytkowania aplikacji, w tym liczbę uruchomień i czas ostatniego uruchomienia, pod
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count
.
Analiza Shellbags
Shellbags, ujawniające szczegóły dostępu do folderów, są przechowywane w
USRCLASS.DAT
iNTUSER.DAT
podSoftware\Microsoft\Windows\Shell
. Użyj Shellbag Explorer do analizy.
Historia urządzeń USB
HKLM\SYSTEM\ControlSet001\Enum\USBSTOR
iHKLM\SYSTEM\ControlSet001\Enum\USB
zawierają bogate szczegóły na temat podłączonych urządzeń USB, w tym producenta, nazwę produktu i znaczniki czasu połączenia.Użytkownik powiązany z konkretnym urządzeniem USB można zlokalizować, wyszukując żyły
NTUSER.DAT
dla {GUID} urządzenia.Ostatnie zamontowane urządzenie i jego numer seryjny woluminu można śledzić za pomocą
System\MountedDevices
iSoftware\Microsoft\Windows NT\CurrentVersion\EMDMgmt
, odpowiednio.
Ten przewodnik zawiera istotne ścieżki i metody dostępu do szczegółowych informacji o systemie, sieci i aktywności użytkownika w systemach Windows, dążąc do klarowności i użyteczności.
Last updated