दिलचस्प Windows रजिस्ट्र्री कुंजी

Reading time: 5 minutes

दिलचस्प Windows रजिस्ट्र्री कुंजी

Windows संस्करण और मालिक की जानकारी

• Software\Microsoft\Windows NT\CurrentVersion में, आप Windows संस्करण, सेवा पैक, स्थापना समय, और पंजीकृत मालिक का नाम सीधे तरीके से पाएंगे।

कंप्यूटर नाम

• होस्टनाम System\ControlSet001\Control\ComputerName\ComputerName के तहत पाया जाता है।

समय क्षेत्र सेटिंग

• सिस्टम का समय क्षेत्र System\ControlSet001\Control\TimeZoneInformation में संग्रहीत होता है।

एक्सेस समय ट्रैकिंग

• डिफ़ॉल्ट रूप से, अंतिम एक्सेस समय ट्रैकिंग बंद होती है (NtfsDisableLastAccessUpdate=1)। इसे सक्षम करने के लिए, उपयोग करें: fsutil behavior set disablelastaccess 0

Windows संस्करण और सेवा पैक

• Windows संस्करण संस्करण (जैसे, होम, प्रो) और इसके रिलीज़ (जैसे, Windows 10, Windows 11) को दर्शाता है, जबकि सेवा पैक अपडेट होते हैं जो सुधार और कभी-कभी नए फीचर्स शामिल करते हैं।

अंतिम एक्सेस समय सक्षम करना

• अंतिम एक्सेस समय ट्रैकिंग को सक्षम करने से आप देख सकते हैं कि फ़ाइलें कब अंतिम बार खोली गई थीं, जो फोरेंसिक विश्लेषण या सिस्टम निगरानी के लिए महत्वपूर्ण हो सकता है।

नेटवर्क जानकारी विवरण

• रजिस्ट्र्री में नेटवर्क कॉन्फ़िगरेशन पर विस्तृत डेटा होता है, जिसमें नेटवर्क के प्रकार (वायरलेस, केबल, 3G) और नेटवर्क श्रेणियाँ (सार्वजनिक, निजी/घर, डोमेन/कार्य) शामिल हैं, जो नेटवर्क सुरक्षा सेटिंग्स और अनुमतियों को समझने के लिए महत्वपूर्ण हैं।

क्लाइंट साइड कैशिंग (CSC)

• CSC ऑफ़लाइन फ़ाइल एक्सेस को साझा फ़ाइलों की प्रतियों को कैश करके बढ़ाता है। विभिन्न CSCFlags सेटिंग्स यह नियंत्रित करती हैं कि कौन सी फ़ाइलें कैश की जाती हैं, जो प्रदर्शन और उपयोगकर्ता अनुभव को प्रभावित करती हैं, विशेष रूप से उन वातावरणों में जहां कनेक्टिविटी अस्थायी होती है।

ऑटोस्टार्ट प्रोग्राम

• विभिन्न Run और RunOnce रजिस्ट्र्री कुंजी में सूचीबद्ध प्रोग्राम स्टार्टअप पर स्वचालित रूप से लॉन्च होते हैं, जो सिस्टम बूट समय को प्रभावित करते हैं और संभावित रूप से मैलवेयर या अवांछित सॉफ़्टवेयर की पहचान के लिए रुचि के बिंदु हो सकते हैं।

शेलबैग्स

• शेलबैग्स न केवल फ़ोल्डर दृश्य के लिए प्राथमिकताएँ संग्रहीत करते हैं बल्कि फ़ोल्डर एक्सेस के फोरेंसिक सबूत भी प्रदान करते हैं, भले ही फ़ोल्डर अब मौजूद न हो। ये जांचों के लिए अमूल्य हैं, जो अन्य तरीकों से स्पष्ट नहीं होने वाली उपयोगकर्ता गतिविधि को प्रकट करते हैं।

USB जानकारी और फोरेंसिक्स

• रजिस्ट्र्री में USB उपकरणों के बारे में संग्रहीत विवरण यह पता लगाने में मदद कर सकते हैं कि कौन से उपकरण एक कंप्यूटर से जुड़े थे, संभावित रूप से संवेदनशील फ़ाइल ट्रांसफर या अनधिकृत एक्सेस घटनाओं से एक उपकरण को जोड़ते हैं।

वॉल्यूम सीरियल नंबर

• वॉल्यूम सीरियल नंबर फ़ाइल सिस्टम के विशिष्ट उदाहरण को ट्रैक करने के लिए महत्वपूर्ण हो सकता है, जो फोरेंसिक परिदृश्यों में उपयोगी है जहां फ़ाइल की उत्पत्ति को विभिन्न उपकरणों के बीच स्थापित करने की आवश्यकता होती है।

शटडाउन विवरण

• शटडाउन समय और गिनती (यह केवल XP के लिए) System\ControlSet001\Control\Windows और System\ControlSet001\Control\Watchdog\Display में रखी जाती है।

नेटवर्क कॉन्फ़िगरेशन

• विस्तृत नेटवर्क इंटरफ़ेस जानकारी के लिए, System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE} देखें।
• पहले और अंतिम नेटवर्क कनेक्शन समय, जिसमें VPN कनेक्शन शामिल हैं, विभिन्न पथों के तहत Software\Microsoft\Windows NT\CurrentVersion\NetworkList में लॉग किए जाते हैं।

साझा फ़ोल्डर

• साझा फ़ोल्डर और सेटिंग्स System\ControlSet001\Services\lanmanserver\Shares के तहत हैं। क्लाइंट साइड कैशिंग (CSC) सेटिंग्स ऑफ़लाइन फ़ाइल उपलब्धता को निर्धारित करती हैं।

स्वचालित रूप से शुरू होने वाले प्रोग्राम

• पथ जैसे NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run और Software\Microsoft\Windows\CurrentVersion के तहत समान प्रविष्टियाँ स्टार्टअप पर चलने के लिए सेट किए गए प्रोग्रामों का विवरण देती हैं।

खोजें और टाइप किए गए पथ

• एक्सप्लोरर खोजें और टाइप किए गए पथ रजिस्ट्र्री में NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer के तहत WordwheelQuery और TypedPaths के लिए ट्रैक किए जाते हैं।

हाल के दस्तावेज़ और ऑफिस फ़ाइलें

• हाल के दस्तावेज़ और ऑफिस फ़ाइलें जो एक्सेस की गई हैं, NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs और विशिष्ट ऑफिस संस्करण पथों में नोट की गई हैं।

सबसे हाल में उपयोग किए गए (MRU) आइटम

• MRU सूचियाँ, जो हाल के फ़ाइल पथ और कमांड को इंगित करती हैं, विभिन्न ComDlg32 और Explorer उपकुंजी में NTUSER.DAT के तहत संग्रहीत होती हैं।

उपयोगकर्ता गतिविधि ट्रैकिंग

• उपयोगकर्ता सहायता सुविधा विस्तृत एप्लिकेशन उपयोग आँकड़े लॉग करती है, जिसमें चलाने की गिनती और अंतिम चलाने का समय शामिल है, NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count में।

शेलबैग्स विश्लेषण

• शेलबैग्स, जो फ़ोल्डर एक्सेस विवरण प्रकट करते हैं, USRCLASS.DAT और NTUSER.DAT में Software\Microsoft\Windows\Shell के तहत संग्रहीत होते हैं। विश्लेषण के लिए Shellbag Explorer का उपयोग करें।

USB उपकरण इतिहास

• HKLM\SYSTEM\ControlSet001\Enum\USBSTOR और HKLM\SYSTEM\ControlSet001\Enum\USB में जुड़े USB उपकरणों के बारे में समृद्ध विवरण होते हैं, जिसमें निर्माता, उत्पाद नाम, और कनेक्शन टाइमस्टैम्प शामिल हैं।
• एक विशिष्ट USB उपकरण से जुड़े उपयोगकर्ता को उस उपकरण के {GUID} के लिए NTUSER.DAT हाइव में खोजकर पहचाना जा सकता है।
• अंतिम माउंटेड उपकरण और इसका वॉल्यूम सीरियल नंबर System\MountedDevices और Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt के माध्यम से ट्रेस किया जा सकता है।

यह गाइड Windows सिस्टम पर विस्तृत सिस्टम, नेटवर्क, और उपयोगकर्ता गतिविधि जानकारी तक पहुँचने के लिए महत्वपूर्ण पथों और विधियों को संक्षेप में प्रस्तुत करता है, स्पष्टता और उपयोगिता के लिए लक्ष्य बनाते हुए।