HackTricksΕνδιαφέροντα Κλειδιά Μητρώου Windows
Reading time: 5 minutes
Ενδιαφέροντα Κλειδιά Μητρώου Windows
tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.
Πληροφορίες Έκδοσης και Ιδιοκτήτη Windows
- Βρίσκεται στο
Software\Microsoft\Windows NT\CurrentVersion, θα βρείτε την έκδοση των Windows, το Service Pack, τον χρόνο εγκατάστασης και το όνομα του καταχωρημένου ιδιοκτήτη με σαφή τρόπο.
Όνομα Υπολογιστή
- Το όνομα υπολογιστή βρίσκεται κάτω από
System\ControlSet001\Control\ComputerName\ComputerName.
Ρύθμιση Ζώνης Ώρας
- Η ζώνη ώρας του συστήματος αποθηκεύεται στο
System\ControlSet001\Control\TimeZoneInformation.
Παρακολούθηση Χρόνου Πρόσβασης
- Από προεπιλογή, η παρακολούθηση του τελευταίου χρόνου πρόσβασης είναι απενεργοποιημένη (
NtfsDisableLastAccessUpdate=1). Για να την ενεργοποιήσετε, χρησιμοποιήστε:fsutil behavior set disablelastaccess 0
Εκδόσεις Windows και Service Packs
- Η έκδοση Windows υποδεικνύει την έκδοση (π.χ., Home, Pro) και την κυκλοφορία της (π.χ., Windows 10, Windows 11), ενώ τα Service Packs είναι ενημερώσεις που περιλαμβάνουν διορθώσεις και, μερικές φορές, νέες δυνατότητες.
Ενεργοποίηση Χρόνου Τελευταίας Πρόσβασης
- Η ενεργοποίηση της παρακολούθησης του τελευταίου χρόνου πρόσβασης σας επιτρέπει να δείτε πότε άνοιξαν τελευταία τα αρχεία, κάτι που μπορεί να είναι κρίσιμο για την εγκληματολογική ανάλυση ή την παρακολούθηση του συστήματος.
Λεπτομέρειες Πληροφοριών Δικτύου
- Το μητρώο περιέχει εκτενή δεδομένα σχετικά με τις ρυθμίσεις δικτύου, συμπεριλαμβανομένων τύπων δικτύων (ασύρματα, καλωδιακά, 3G) και κατηγοριών δικτύου (Δημόσιο, Ιδιωτικό/Οικιακό, Τομέας/Εργασία), που είναι ζωτικής σημασίας για την κατανόηση των ρυθμίσεων ασφαλείας δικτύου και των δικαιωμάτων.
Client Side Caching (CSC)
- CSC βελτιώνει την πρόσβαση σε αρχεία εκτός σύνδεσης αποθηκεύοντας αντίγραφα κοινών αρχείων. Διαφορετικές ρυθμίσεις CSCFlags ελέγχουν πώς και ποια αρχεία αποθηκεύονται στην κρυφή μνήμη, επηρεάζοντας την απόδοση και την εμπειρία του χρήστη, ειδικά σε περιβάλλοντα με διαλείπουσα συνδεσιμότητα.
Προγράμματα AutoStart
- Τα προγράμματα που αναφέρονται σε διάφορα κλειδιά μητρώου
RunκαιRunOnceεκκινούν αυτόματα κατά την εκκίνηση, επηρεάζοντας τον χρόνο εκκίνησης του συστήματος και ενδεχομένως αποτελώντας σημεία ενδιαφέροντος για την αναγνώριση κακόβουλου λογισμικού ή ανεπιθύμητου λογισμικού.
Shellbags
- Shellbags όχι μόνο αποθηκεύουν προτιμήσεις για τις προβολές φακέλων αλλά παρέχουν επίσης εγκληματολογικά στοιχεία πρόσβασης φακέλων ακόμη και αν ο φάκελος δεν υπάρχει πια. Είναι ανεκτίμητα για τις έρευνες, αποκαλύπτοντας δραστηριότητα χρηστών που δεν είναι προφανής μέσω άλλων μέσων.
Πληροφορίες USB και Εγκληματολογία
- Οι λεπτομέρειες που αποθηκεύονται στο μητρώο σχετικά με τις συσκευές USB μπορούν να βοηθήσουν στην ανίχνευση ποια συσκευές συνδέθηκαν σε έναν υπολογιστή, ενδεχομένως συνδέοντας μια συσκευή με ευαίσθητες μεταφορές αρχείων ή περιστατικά μη εξουσιοδοτημένης πρόσβασης.
Αριθμός Σειράς Τόμου
- Ο Αριθμός Σειράς Τόμου μπορεί να είναι κρίσιμος για την παρακολούθηση της συγκεκριμένης περίπτωσης ενός συστήματος αρχείων, χρήσιμος σε εγκληματολογικά σενάρια όπου πρέπει να καθοριστεί η προέλευση ενός αρχείου σε διάφορες συσκευές.
Λεπτομέρειες Τερματισμού
- Ο χρόνος και ο αριθμός τερματισμού (ο τελευταίος μόνο για XP) διατηρούνται στο
System\ControlSet001\Control\WindowsκαιSystem\ControlSet001\Control\Watchdog\Display.
Ρύθμιση Δικτύου
- Για λεπτομερείς πληροφορίες διεπαφής δικτύου, ανατρέξτε στο
System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}. - Οι πρώτοι και τελευταίοι χρόνοι σύνδεσης δικτύου, συμπεριλαμβανομένων των συνδέσεων VPN, καταγράφονται κάτω από διάφορες διαδρομές στο
Software\Microsoft\Windows NT\CurrentVersion\NetworkList.
Κοινόχρηστοι Φάκελοι
- Οι κοινόχρηστοι φάκελοι και οι ρυθμίσεις βρίσκονται κάτω από
System\ControlSet001\Services\lanmanserver\Shares. Οι ρυθμίσεις Client Side Caching (CSC) καθορίζουν τη διαθεσιμότητα αρχείων εκτός σύνδεσης.
Προγράμματα που Ξεκινάνε Αυτόματα
- Διαδρομές όπως
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Runκαι παρόμοιες καταχωρήσεις κάτω απόSoftware\Microsoft\Windows\CurrentVersionπεριγράφουν προγράμματα που έχουν ρυθμιστεί να εκκινούν κατά την εκκίνηση.
Αναζητήσεις και Πληκτρολογημένες Διαδρομές
- Οι αναζητήσεις του Explorer και οι πληκτρολογημένες διαδρομές παρακολουθούνται στο μητρώο κάτω από
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorerγια WordwheelQuery και TypedPaths, αντίστοιχα.
Πρόσφατα Έγγραφα και Αρχεία Office
- Τα πρόσφατα έγγραφα και τα αρχεία Office που έχουν προσπελαστεί σημειώνονται στο
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocsκαι σε συγκεκριμένες διαδρομές έκδοσης Office.
Πιο Πρόσφατα Χρησιμοποιούμενα (MRU) Στοιχεία
- Οι λίστες MRU, που υποδεικνύουν πρόσφατες διαδρομές αρχείων και εντολές, αποθηκεύονται σε διάφορα υποκλειδιά
ComDlg32καιExplorerκάτω απόNTUSER.DAT.
Παρακολούθηση Δραστηριότητας Χρήστη
- Η δυνατότητα User Assist καταγράφει λεπτομερείς στατιστικές χρήσης εφαρμογών, συμπεριλαμβανομένου του αριθμού εκτελέσεων και του τελευταίου χρόνου εκτέλεσης, στο
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count.
Ανάλυση Shellbags
- Τα Shellbags, που αποκαλύπτουν λεπτομέρειες πρόσβασης φακέλων, αποθηκεύονται στο
USRCLASS.DATκαιNTUSER.DATκάτω απόSoftware\Microsoft\Windows\Shell. Χρησιμοποιήστε Shellbag Explorer για ανάλυση.
Ιστορικό Συσκευών USB
HKLM\SYSTEM\ControlSet001\Enum\USBSTORκαιHKLM\SYSTEM\ControlSet001\Enum\USBπεριέχουν πλούσιες λεπτομέρειες σχετικά με τις συνδεδεμένες συσκευές USB, συμπεριλαμβανομένου του κατασκευαστή, του ονόματος προϊόντος και των χρονικών σημείων σύνδεσης.- Ο χρήστης που σχετίζεται με μια συγκεκριμένη συσκευή USB μπορεί να προσδιοριστεί αναζητώντας τις βάσεις
NTUSER.DATγια το {GUID} της συσκευής. - Η τελευταία τοποθετημένη συσκευή και ο αριθμός σειράς τόμου της μπορούν να ανιχνευθούν μέσω
System\MountedDevicesκαιSoftware\Microsoft\Windows NT\CurrentVersion\EMDMgmt, αντίστοιχα.
Αυτός ο οδηγός συμπυκνώνει τις κρίσιμες διαδρομές και μεθόδους για την πρόσβαση σε λεπτομερείς πληροφορίες συστήματος, δικτύου και δραστηριότητας χρηστών σε συστήματα Windows, στοχεύοντας στην καθαρότητα και τη χρηστικότητα.
tip
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.