hacktricks/forensics/basic-forensic-methodology/windows-forensics/interesting-windows-registry-keys.md

# दिलचस्प Windows रजिस्ट्री कुंजी

### दिलचस्प Windows रजिस्ट्री कुंजी

{% hint style="success" %}
AWS हैकिंग सीखें और अभ्यास करें:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks प्रशिक्षण AWS रेड टीम विशेषज्ञ (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
GCP हैकिंग सीखें और अभ्यास करें: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks प्रशिक्षण GCP रेड टीम विशेषज्ञ (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>हैकट्रिक्स का समर्थन करें</summary>

* [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जाँच करें!
* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** पर **फॉलो** करें।
* **हैकिंग ट्रिक्स साझा करें, पीआर जमा करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github रेपो में।

</details>
{% endhint %}

### **Windows संस्करण और मालिक जानकारी**
- **`Software\Microsoft\Windows NT\CurrentVersion`** पर स्थित है, आपको Windows संस्करण, सेवा पैक, स्थापना समय, और पंजीकृत मालिक का नाम सीधे ढंग से मिलेगा।

### **कंप्यूटर नाम**
- होस्टनाम **`System\ControlSet001\Control\ComputerName\ComputerName`** के तहत पाया जाता है।

### **समय क्षेत्र सेटिंग**
- सिस्टम का समय क्षेत्र **`System\ControlSet001\Control\TimeZoneInformation`** में संग्रहित होता है।

### **पहुंच समय ट्रैकिंग**
- डिफ़ॉल्ट रूप से, अंतिम पहुंच समय ट्रैकिंग बंद होता है (**`NtfsDisableLastAccessUpdate=1`**). इसे सक्षम करने के लिए, इस्तेमाल करें:
`fsutil behavior set disablelastaccess 0`

### Windows संस्करण और सेवा पैक
- **Windows संस्करण** संस्करण (जैसे, होम, प्रो) और इसका रिलीज (जैसे, Windows 10, Windows 11) को दर्शाता है, जबकि **सेवा पैक** अपडेट हैं जिसमें सुधार और कभी-कभी नए सुविधाएँ शामिल होती हैं।

### अंतिम पहुंच समय सक्षम करना
- अंतिम पहुंच समय ट्रैकिंग को सक्षम करने से आप देख सकते हैं कि फ़ाइलें कब आखिरी बार खोली गई थीं, जो फोरेंसिक विश्लेषण या सिस्टम मॉनिटरिंग के लिए महत्वपूर्ण हो सकता है।

### नेटवर्क सूचना विवरण
- रजिस्ट्री में नेटवर्क कॉन्फ़िगरेशन पर व्यापक डेटा होता है, जिसमें **नेटवर्क के प्रकार (वायरलेस, केबल, 3जी)** और **नेटवर्क श्रेणियाँ (सार्वजनिक, निजी/घर, डोमेन/काम)** शामिल हैं, जो नेटवर्क सुरक्षा सेटिंग्स और अनुमतियों को समझने के लिए महत्वपूर्ण हैं।

### क्लाइंट साइड कैशिंग (CSC)
- **CSC** साझा फ़ाइलों का कैशिंग करके ऑफ़लाइन फ़ाइल एक्सेस को बढ़ाता है। विभिन्न **CSCFlags** सेटिंग्स नियंत्रित करती हैं कि कैसे और कौन सी फ़ाइलें कैश होती हैं, प्रदर्शन और उपयोगकर्ता अनुभव पर प्रभाव डालती हैं, विशेष रूप से अंतरिक्ष से जुड़े परिस्थितियों में।

### ऑटोस्टार्ट प्रोग्राम
- विभिन्न `Run` और `RunOnce` रजिस्ट्री कुंजी में सूचीबद्ध प्रोग्राम स्वचालित रूप से स्टार्टअप पर लॉन्च होते हैं, सिस्टम बूट समय पर प्रभाव डालते हैं और मालवेयर या अवांछित सॉफ़्टवेयर की पहचान के लिए महत्वपूर्ण बिंदु हो सकते हैं।

### शेलबैग्स
- **शेलबैग्स** न केवल फ़ोल्डर दृश्यों के लिए पसंद रखते हैं बल्कि यदि फ़ोल्डर अब मौजूद नहीं है तो फ़ोल्डर एक्सेस के फोरेंसिक साक्ष्य भी प्रदान करते हैं। वे जांचों के लिए अमूल्य हैं, अन्य साधनों के माध्यम से स्पष्ट नहीं होने वाली उपयोगकर्ता गतिविधि का पता लगाने के लिए।

### USB सूचना और फोरेंसिक्स
- USB डिवाइस के बारे में रजिस्ट्री में संग्रहित विवरण एक कंप्यूटर से कनेक्ट किए गए कौन से डिवाइस थे, संवेदनशील फ़ाइल स्थानांतरण या अनधिकृत पहुंच घटनाओं से डिवाइस को जोड़ सकते हैं।

### वॉल्यूम सीरियल नंबर
- **वॉल्यूम सीरियल नंबर** फ़ाइल सिस्टम के विशिष्ट उदाहरण का ट्रैकिंग के लिए महत्वपूर्ण हो सकता है, जिसे फ़ोरेंसिक स्थितियों में उपयोगी होता है जहां फ़ाइल का मूल स्थान विभिन्न उपकरणों के बीच स्थापित किया जाना चाहिए।

### **शटडाउन विवरण**
- शटडाउन समय और गिनती (केवल XP के लिए) **`System\ControlSet001\Control\Windows`** और **`System\ControlSet001\Control\Watchdog\Display`** में रखा जाता है।

### **नेटवर्क कॉन्फ़िगरेशन**
- विस्तृत नेटवर्क इंटरफेस जानकारी के लिए, **`System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}`** का संदर्भ दें।
- पहली और आखिरी नेटवर्क कनेक्शन समय, VPN कनेक्शन सहित, **`Software\Microsoft\Windows NT\CurrentVersion\NetworkList`** में विभिन्न पथों के तहत लॉग किए गए हैं।

### **साझा फोल्डर**
- साझा फोल्डर और सेटिंग **`System\ControlSet001\Services\lanmanserver\Shares`** के तहत हैं। क्लाइंट साइड कैशिंग (CSC) सेटिंग्स ऑफ़लाइन फ़ाइल उपलब्धता निर्धारित करती हैं।

### **स्वचालित रूप से शुरू होने वाले प्रोग्राम**
- पथ जैसे **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run`** और `Software\Microsoft\Windows\CurrentVersion` के तहत समान प्रविष्टियाँ विस्तार से विवरणित करती हैं जो स्टार्टअप पर चलाने के लिए सेट किए गए प्रोग्राम हैं।

### **खोजें और टंकित पथ**
- एक्सप्लोरर खोज और टंकित पथ रजिस्ट्री में ट्रैक किए जाते हैं **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer`** के तहत WordwheelQuery और TypedPaths के लिए।

### **हाल ही में दस्तावेज़ और ऑफिस फ़ाइलें**
- हाल ही में दस्तावेज़ और ऑफिस फ़ाइलें जिनका उपयोग किया गया है, उन्हें नोट किया गया है `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs` और विशेष ऑफिस संस्करण पथों में।

### **हाल ही में उपयोग किए गए (MRU) आइटम**
- MRU सूचियाँ, हाल ही में फ़ाइल पथ और कमांड को दर्शाती हैं, विभिन्न `ComDlg32` और `Explorer` सबकी में `NTUSER.DAT` के तहत संग्रहीत होती हैं।

### **उपयोगकर्ता गतिविधि ट्रैकिंग**
- यूज़र असिस्ट