Interesting Windows Registry Keys
Interesantni Windows registarski ključevi
Informacije o Windows verziji i vlasniku
Nađite Windows verziju, Service Pack, vreme instalacije i ime registrovanog vlasnika na jednostavan način u
Software\Microsoft\Windows NT\CurrentVersion.
Ime računara
Hostname se nalazi pod
System\ControlSet001\Control\ComputerName\ComputerName.
Podešavanje vremenske zone
Vremenska zona sistema se čuva u
System\ControlSet001\Control\TimeZoneInformation.
Pracenje vremena pristupa
Podrazumevano, praćenje vremena poslednjeg pristupa je isključeno (
NtfsDisableLastAccessUpdate=1). Da biste ga omogućili, koristite:fsutil behavior set disablelastaccess 0
Windows verzije i Service Pack-ovi
Windows verzija označava izdanje (npr. Home, Pro) i njeno izdanje (npr. Windows 10, Windows 11), dok Service Pack-ovi predstavljaju ažuriranja koja uključuju popravke i ponekad nove funkcije.
Omogućavanje vremena poslednjeg pristupa
Omogućavanje praćenja vremena poslednjeg pristupa omogućava vam da vidite kada su datoteke poslednji put otvorene, što može biti ključno za forenzičku analizu ili praćenje sistema.
Detalji o mrežnim informacijama
Registar čuva obimne podatke o mrežnim konfiguracijama, uključujući tipove mreža (bežične, kablove, 3G) i kategorije mreže (Javna, Privatna/Domaća, Domen/Radna), što je važno za razumevanje postavki mrežne sigurnosti i dozvola.
Klijentsko skladištenje (CSC)
CSC poboljšava pristup datotekama van mreže skladištenjem kopija deljenih datoteka. Različita podešavanja CSCFlags kontrolišu kako i koje datoteke se skladište, utičući na performanse i korisničko iskustvo, posebno u okruženjima sa povremenom konekcijom.
Programi koji se automatski pokreću
Programi navedeni u različitim
RuniRunOnceregistarskim ključevima automatski se pokreću prilikom pokretanja sistema, utičući na vreme pokretanja sistema i potencijalno predstavljajući tačke interesa za identifikaciju malvera ili neželjenog softvera.
Shellbags
Shellbags ne samo da čuvaju preferencije za prikaze fascikli, već pružaju i forenzičke dokaze o pristupu fasciklama čak i ako fascikla više ne postoji. Oni su neprocenjivi za istrage, otkrivajući korisničku aktivnost koja nije očigledna na druge načine.
Informacije i forenzika o USB uređajima
Detalji o USB uređajima čuvaju se u registru i mogu pomoći u praćenju koji su uređaji bili povezani sa računarom, potencijalno povezujući uređaj sa prenosom osetljivih datoteka ili incidentima neovlašćenog pristupa.
Serijski broj zapremine
Serijski broj zapremine može biti ključan za praćenje specifične instance sistema datoteka, koristan u forenzičkim scenarijima gde je potrebno utvrditi poreklo datoteke na različitim uređajima.
Detalji o isključivanju
Vreme isključivanja i broj (samo za XP) čuvaju se u
System\ControlSet001\Control\WindowsiSystem\ControlSet001\Control\Watchdog\Display.
Konfiguracija mreže
Za detaljne informacije o mrežnim interfejsima, pogledajte
System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}.Prvo i poslednje vreme povezivanja na mrežu, uključujući VPN veze, beleže se pod različitim putanjama u
Software\Microsoft\Windows NT\CurrentVersion\NetworkList.
Deljeni folderi
Deljeni folderi i podešavanja nalaze se pod
System\ControlSet001\Services\lanmanserver\Shares. Podešavanja klijentskog skladištenja (CSC) određuju dostupnost datoteka van mreže.
Programi koji se automatski pokreću
Putanje poput
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Runi slični unosi podSoftware\Microsoft\Windows\CurrentVersiondetaljno opisuju programe postavljene da se pokreću prilikom pokretanja sistema.
Pretrage i otkucane putanje
Pretrage i otkucane putanje u Explorer-u prate se u registru pod
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorerza WordwheelQuery i TypedPaths, redom.
Nedavni dokumenti i Office datoteke
Nedavni dokumenti i Office datoteke na koje je pristupano beleže se u
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocsi specifičnim putanjama za verzije Office-a.
Nedavno korišćeni (MRU) elementi
Liste MRU, koje pokazuju nedavne putanje do datoteka i komande, čuvaju se u različitim podključevima
ComDlg32iExplorerpodNTUSER.DAT.
Pracenje korisničke aktivnosti
Funkcija User Assist beleži detaljnu statistiku korišćenja aplikacija, uključujući broj pokretanja i poslednje vreme pokretanja, na putanji
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count.
Analiza Shellbags-a
Shellbags, koji otkrivaju detalje o pristupu fasciklama, čuvaju se u
USRCLASS.DATiNTUSER.DATpodSoftware\Microsoft\Windows\Shell. Koristite Shellbag Explorer za analizu.
Istorija USB uređaja
HKLM\SYSTEM\ControlSet001\Enum\USBSTORiHKLM\SYSTEM\ControlSet001\Enum\USBsadrže bogate detalje o povezanim USB uređajima, uključujući proizvođača, naziv proizvoda i vremenske oznake povezivanja.Korisnik povezan sa određenim USB uređajem može se locirati pretragom
NTUSER.DATkošnica za {GUID} uređaja.Poslednji montirani uređaj i njegov serijski broj zapremine mogu se pratiti kroz
System\MountedDevicesiSoftware\Microsoft\Windows NT\CurrentVersion\EMDMgmt, redom.
Ovaj vodič sažima ključne putanje i metode za pristup detaljnim informacijama o sistemu, mreži i korisničkoj aktivnosti na Windows sistemima, teži ka jasnoći i upotrebljivosti.
Last updated