HackTricksInteresting Windows Registry Keys
Reading time: 4 minutes
Interesting Windows Registry Keys
tip
Učite i vežbajte AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Windows Version and Owner Info
- Located at
Software\Microsoft\Windows NT\CurrentVersion, you will find verziju Windows-a, Service Pack, vreme instalacije i ime registrovanog vlasnika na jednostavan način.
Computer Name
- Ime računara se nalazi pod
System\ControlSet001\Control\ComputerName\ComputerName.
Time Zone Setting
- Vremenska zona sistema se čuva u
System\ControlSet001\Control\TimeZoneInformation.
Access Time Tracking
- Po defaultu, praćenje poslednjeg vremena pristupa je isključeno (
NtfsDisableLastAccessUpdate=1). Da biste ga omogućili, koristite:fsutil behavior set disablelastaccess 0
Windows Versions and Service Packs
- Verzija Windows-a označava izdanje (npr. Home, Pro) i njegovu verziju (npr. Windows 10, Windows 11), dok su Service Packs ažuriranja koja uključuju ispravke i, ponekad, nove funkcije.
Enabling Last Access Time
- Omogućavanje praćenja poslednjeg vremena pristupa omogućava vam da vidite kada su datoteke poslednji put otvorene, što može biti ključno za forenzičku analizu ili praćenje sistema.
Network Information Details
- Registry sadrži opsežne podatke o mrežnim konfiguracijama, uključujući tipove mreža (bežične, kablovske, 3G) i kategorije mreža (Javna, Privatna/Domaća, Domen/Rad), što je od suštinskog značaja za razumevanje mrežnih bezbednosnih postavki i dozvola.
Client Side Caching (CSC)
- CSC poboljšava pristup offline datotekama keširanjem kopija deljenih datoteka. Različita podešavanja CSCFlags kontrolišu kako i koje datoteke se keširaju, utičući na performanse i korisničko iskustvo, posebno u okruženjima sa povremenom povezanošću.
AutoStart Programs
- Programi navedeni u raznim
RuniRunOnceregistry ključevima se automatski pokreću prilikom pokretanja, utičući na vreme podizanja sistema i potencijalno predstavljajući tačke interesa za identifikaciju malvera ili neželjenog softvera.
Shellbags
- Shellbags ne samo da čuvaju podešavanja za prikaz foldera, već takođe pružaju forenzičke dokaze o pristupu folderima čak i ako folder više ne postoji. Oni su neprocenjivi za istrage, otkrivajući korisničke aktivnosti koje nisu očigledne na druge načine.
USB Information and Forensics
- Detalji pohranjeni u registry o USB uređajima mogu pomoći u praćenju koji su uređaji bili povezani sa računarom, potencijalno povezujući uređaj sa osetljivim prenosima datoteka ili incidentima neovlašćenog pristupa.
Volume Serial Number
- Serijski broj volumena može biti ključan za praćenje specifične instance datotečnog sistema, koristan u forenzičkim scenarijima gde je potrebno utvrditi poreklo datoteke preko različitih uređaja.
Shutdown Details
- Vreme gašenja i broj gašenja (potonji samo za XP) se čuvaju u
System\ControlSet001\Control\WindowsiSystem\ControlSet001\Control\Watchdog\Display.
Network Configuration
- Za detaljne informacije o mrežnim interfejsima, pogledajte
System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}. - Prva i poslednja vremena mrežne veze, uključujući VPN veze, su zabeležena pod raznim putanjama u
Software\Microsoft\Windows NT\CurrentVersion\NetworkList.
Shared Folders
- Deljeni folderi i podešavanja su pod
System\ControlSet001\Services\lanmanserver\Shares. Podešavanja Client Side Caching (CSC) određuju dostupnost offline datoteka.
Programs that Start Automatically
- Putanje poput
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Runi slični unosi podSoftware\Microsoft\Windows\CurrentVersiondetaljno opisuju programe postavljene da se pokreću prilikom pokretanja.
Searches and Typed Paths
- Istraživanja u Explorer-u i unesene putanje se prate u registry pod
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorerza WordwheelQuery i TypedPaths, respektivno.
Recent Documents and Office Files
- Nedavne datoteke i Office datoteke koje su pristupane su zabeležene u
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocsi specifičnim putanjama verzije Office-a.
Most Recently Used (MRU) Items
- MRU liste, koje ukazuju na nedavne putanje datoteka i komande, se čuvaju u raznim
ComDlg32iExplorerpodključevima podNTUSER.DAT.
User Activity Tracking
- Funkcija User Assist beleži detaljne statistike korišćenja aplikacija, uključujući broj pokretanja i vreme poslednjeg pokretanja, na
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count.
Shellbags Analysis
- Shellbags, koji otkrivaju detalje o pristupu folderima, se čuvaju u
USRCLASS.DATiNTUSER.DATpodSoftware\Microsoft\Windows\Shell. Koristite Shellbag Explorer za analizu.
USB Device History
HKLM\SYSTEM\ControlSet001\Enum\USBSTORiHKLM\SYSTEM\ControlSet001\Enum\USBsadrže bogate detalje o povezanim USB uređajima, uključujući proizvođača, naziv proizvoda i vremenske oznake povezivanja.- Korisnik povezan sa specifičnim USB uređajem može se precizno odrediti pretraživanjem
NTUSER.DAThives za {GUID} uređaja. - Poslednji montirani uređaj i njegov serijski broj volumena mogu se pratiti kroz
System\MountedDevicesiSoftware\Microsoft\Windows NT\CurrentVersion\EMDMgmt, respektivno.
This guide condenses the crucial paths and methods for accessing detailed system, network, and user activity information on Windows systems, aiming for clarity and usability.
tip
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.