AWS Hacking'i öğrenin ve uygulayın:<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">[**HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE)**](https://training.hacktricks.xyz/courses/arte)<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">\
GCP Hacking'i öğrenin ve uygulayın: <imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">[**HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)**<imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">](https://training.hacktricks.xyz/courses/grte)
* [**Abonelik planlarını**](https://github.com/sponsors/carlospolop) kontrol edin!
* 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) katılın veya [**telegram grubuna**](https://t.me/peass) katılın veya bizi **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** takip edin.**
- **`Software\Microsoft\Windows NT\CurrentVersion`** altında, Windows sürümü, Service Pack, kurulum zamanı ve kayıtlı sahibin adını açık bir şekilde bulabilirsiniz.
- **Windows sürümü**, sürümü (örneğin, Ev, Pro) ve çıkışı (örneğin, Windows 10, Windows 11) belirtirken, **Service Pack'ler** düzeltmeleri ve bazen yeni özellikleri içeren güncellemelerdir.
- Son erişim zamanı takibini etkinleştirmek, dosyaların ne zaman en son açıldığını görmeyi sağlar; bu, adli analiz veya sistem izleme için önemli olabilir.
- Kayıt defteri, ağ yapılandırmaları hakkında kapsamlı veriler içerir, **ağ türleri (kablosuz, kablo, 3G)** ve **ağ kategorileri (Genel, Özel/Ev, Etki Alanı/İş)** gibi, ağ güvenlik ayarlarını ve izinleri anlamak için hayati önem taşır.
- **CSC**, paylaşılan dosyaların kopyalarını önbelleğe alarak çevrimdışı dosya erişimini geliştirir. Farklı**CSCFlags** ayarları, hangi dosyaların ve nasıl önbelleğe alındığını kontrol eder, özellikle kesintili bağlantıların olduğu ortamlarda performansı ve kullanıcı deneyimini etkiler.
- Başlangıçta otomatik olarak başlatılan programlar, sistem başlatma süresini etkiler ve kötü amaçlı yazılımları veya istenmeyen yazılımları tanımlamak için ilgi noktaları olabilir, çeşitli `Run` ve `RunOnce` kayıt defteri anahtarlarında listelenirler.
- **Shellbags**, sadece klasör görünümleri için tercihleri depolamakla kalmaz, aynı zamanda klasörün artık mevcut olmasa bile erişildiğine dair adli kanıtlar sağlar. Diğer yöntemlerle açık olmayan kullanıcı etkinliğini ortaya çıkarmak için değerlidir.
- USB cihazları hakkında kayıt defterinde saklanan ayrıntılar, bir bilgisayara bağlanan hangi cihazların izini sürmeye yardımcı olabilir, potansiyel olarak bir cihazı hassas dosya transferleri veya izinsiz erişim olaylarıyla ilişkilendirebilir.
- **Hacim Seri Numarası**, dosya sisteminin belirli bir örneğini izlemek için kritik olabilir, dosya kaynağının farklı cihazlar arasında belirlenmesi gereken adli senaryolarda faydalıdır.
- Kapanma zamanı ve sayısı (yalnızca XP için) **`System\ControlSet001\Control\Windows`** ve **`System\ControlSet001\Control\Watchdog\Display`** içinde saklanır.
- İlk ve son ağ bağlantı zamanları, VPN bağlantıları da dahil olmak üzere, **`Software\Microsoft\Windows NT\CurrentVersion\NetworkList`** içinde çeşitli yollarda kaydedilir.
- Paylaşılan klasörler ve ayarlar **`System\ControlSet001\Services\lanmanserver\Shares`** altında bulunur. İstemci Tarafı Önbelleği (CSC) ayarları çevrimdışı dosya erişilebilirliğini belirler.
- **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run`** gibi yollar ve başlangıçta çalışacak programları ayrıntılandıran `Software\Microsoft\Windows\CurrentVersion` altındaki benzer girişler.
- Araştırıcı aramaları ve yazılan yollar, WordwheelQuery ve TypedPaths için sırasıyla **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer`** altında kaydedilir.
- Erişilen son belgeler ve Office dosyaları, `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs` ve belirli Office sürümü yollarında belirtilir.
- En son kullanılan dosya yollarını ve komutları gösteren MRU listeleri, `NTUSER.DAT` altındaki çeşitli `ComDlg32` ve `Explorer` alt anahtarlarında saklanır.
- Kullanıcı Yardımı özelliği, ayrıntılı uygulama kullanım istatistiklerini, çalıştırma sayısını ve son çalıştırma zamanını**`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count`** altında kaydeder.
- Klasör erişim ayrıntılarını ortaya çıkaran Shellbags, analiz için `USRCLASS.DAT` ve `NTUSER.DAT` altında `Software\Microsoft\Windows\Shell` içinde saklanır. Analiz için **[Shellbag Explorer](https://ericzimmerman.github.io/#!index.md)** kullanın.
### **USB Cihaz Geçmişi**
- **`HKLM\SYSTEM\ControlSet001\Enum\USBSTOR`** ve **`HKLM\SYSTEM\ControlSet001\Enum\USB`** bağlı USB cihazları hakkında zengin ayrıntılar içerir, üretici, ürün adı ve bağlantı zaman damgaları gibi.
- Belirli bir USB cihazıyla ilişkilendirilen kullanıcı, cihazın **{GUID}**'sini arayarak `NTUSER.DAT` hive'larında belirlenebilir.
- Son bağlanan cihaz ve hacim seri numarası, sırasıyla `System\MountedDevices` ve `Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt` içinde izlenebilir.
Bu kılavuz, Windows sistemlerinde detaylı sistem, ağ ve kullanıcı etkinlik bilgilerine erişmek için önemli yolları ve yöntemleri özlü ve kullanışlı bir şekilde özetler.
