hacktricks/forensics/basic-forensic-methodology/windows-forensics/interesting-windows-registry-keys.md

दिलचस्प Windows रजिस्ट्री कुंजी

दिलचस्प Windows रजिस्ट्री कुंजी

{% hint style="success" %} AWS हैकिंग सीखें और अभ्यास करें:HackTricks प्रशिक्षण AWS रेड टीम विशेषज्ञ (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks प्रशिक्षण GCP रेड टीम विशेषज्ञ (GRTE)

हैकट्रिक्स का समर्थन करें

• सदस्यता योजनाएं की जाँच करें!
• शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या हमें ट्विटर 🐦 @hacktricks_live** पर फॉलो करें।
• हैकिंग ट्रिक्स साझा करें, पीआर जमा करके HackTricks और HackTricks Cloud github रेपो में।

{% endhint %}

Windows संस्करण और मालिक जानकारी

• Software\Microsoft\Windows NT\CurrentVersion पर स्थित है, आपको Windows संस्करण, सेवा पैक, स्थापना समय, और पंजीकृत मालिक का नाम सीधे ढंग से मिलेगा।

कंप्यूटर नाम

• होस्टनाम System\ControlSet001\Control\ComputerName\ComputerName के तहत पाया जाता है।

समय क्षेत्र सेटिंग

• सिस्टम का समय क्षेत्र System\ControlSet001\Control\TimeZoneInformation में संग्रहित होता है।

पहुंच समय ट्रैकिंग

• डिफ़ॉल्ट रूप से, अंतिम पहुंच समय ट्रैकिंग बंद होता है (NtfsDisableLastAccessUpdate=1). इसे सक्षम करने के लिए, इस्तेमाल करें: fsutil behavior set disablelastaccess 0

Windows संस्करण और सेवा पैक

• Windows संस्करण संस्करण (जैसे, होम, प्रो) और इसका रिलीज (जैसे, Windows 10, Windows 11) को दर्शाता है, जबकि सेवा पैक अपडेट हैं जिसमें सुधार और कभी-कभी नए सुविधाएँ शामिल होती हैं।

अंतिम पहुंच समय सक्षम करना

• अंतिम पहुंच समय ट्रैकिंग को सक्षम करने से आप देख सकते हैं कि फ़ाइलें कब आखिरी बार खोली गई थीं, जो फोरेंसिक विश्लेषण या सिस्टम मॉनिटरिंग के लिए महत्वपूर्ण हो सकता है।

नेटवर्क सूचना विवरण

• रजिस्ट्री में नेटवर्क कॉन्फ़िगरेशन पर व्यापक डेटा होता है, जिसमें नेटवर्क के प्रकार (वायरलेस, केबल, 3जी) और नेटवर्क श्रेणियाँ (सार्वजनिक, निजी/घर, डोमेन/काम) शामिल हैं, जो नेटवर्क सुरक्षा सेटिंग्स और अनुमतियों को समझने के लिए महत्वपूर्ण हैं।

क्लाइंट साइड कैशिंग (CSC)

• CSC साझा फ़ाइलों का कैशिंग करके ऑफ़लाइन फ़ाइल एक्सेस को बढ़ाता है। विभिन्न CSCFlags सेटिंग्स नियंत्रित करती हैं कि कैसे और कौन सी फ़ाइलें कैश होती हैं, प्रदर्शन और उपयोगकर्ता अनुभव पर प्रभाव डालती हैं, विशेष रूप से अंतरिक्ष से जुड़े परिस्थितियों में।

ऑटोस्टार्ट प्रोग्राम

• विभिन्न Run और RunOnce रजिस्ट्री कुंजी में सूचीबद्ध प्रोग्राम स्वचालित रूप से स्टार्टअप पर लॉन्च होते हैं, सिस्टम बूट समय पर प्रभाव डालते हैं और मालवेयर या अवांछित सॉफ़्टवेयर की पहचान के लिए महत्वपूर्ण बिंदु हो सकते हैं।

शेलबैग्स

• शेलबैग्स न केवल फ़ोल्डर दृश्यों के लिए पसंद रखते हैं बल्कि यदि फ़ोल्डर अब मौजूद नहीं है तो फ़ोल्डर एक्सेस के फोरेंसिक साक्ष्य भी प्रदान करते हैं। वे जांचों के लिए अमूल्य हैं, अन्य साधनों के माध्यम से स्पष्ट नहीं होने वाली उपयोगकर्ता गतिविधि का पता लगाने के लिए।

USB सूचना और फोरेंसिक्स

• USB डिवाइस के बारे में रजिस्ट्री में संग्रहित विवरण एक कंप्यूटर से कनेक्ट किए गए कौन से डिवाइस थे, संवेदनशील फ़ाइल स्थानांतरण या अनधिकृत पहुंच घटनाओं से डिवाइस को जोड़ सकते हैं।

वॉल्यूम सीरियल नंबर

• वॉल्यूम सीरियल नंबर फ़ाइल सिस्टम के विशिष्ट उदाहरण का ट्रैकिंग के लिए महत्वपूर्ण हो सकता है, जिसे फ़ोरेंसिक स्थितियों में उपयोगी होता है जहां फ़ाइल का मूल स्थान विभिन्न उपकरणों के बीच स्थापित किया जाना चाहिए।

शटडाउन विवरण

• शटडाउन समय और गिनती (केवल XP के लिए) System\ControlSet001\Control\Windows और System\ControlSet001\Control\Watchdog\Display में रखा जाता है।

नेटवर्क कॉन्फ़िगरेशन

• विस्तृत नेटवर्क इंटरफेस जानकारी के लिए, System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE} का संदर्भ दें।
• पहली और आखिरी नेटवर्क कनेक्शन समय, VPN कनेक्शन सहित, Software\Microsoft\Windows NT\CurrentVersion\NetworkList में विभिन्न पथों के तहत लॉग किए गए हैं।

साझा फोल्डर

• साझा फोल्डर और सेटिंग System\ControlSet001\Services\lanmanserver\Shares के तहत हैं। क्लाइंट साइड कैशिंग (CSC) सेटिंग्स ऑफ़लाइन फ़ाइल उपलब्धता निर्धारित करती हैं।

स्वचालित रूप से शुरू होने वाले प्रोग्राम

• पथ जैसे NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run और Software\Microsoft\Windows\CurrentVersion के तहत समान प्रविष्टियाँ विस्तार से विवरणित करती हैं जो स्टार्टअप पर चलाने के लिए सेट किए गए प्रोग्राम हैं।

खोजें और टंकित पथ

• एक्सप्लोरर खोज और टंकित पथ रजिस्ट्री में ट्रैक किए जाते हैं NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer के तहत WordwheelQuery और TypedPaths के लिए।

हाल ही में दस्तावेज़ और ऑफिस फ़ाइलें

• हाल ही में दस्तावेज़ और ऑफिस फ़ाइलें जिनका उपयोग किया गया है, उन्हें नोट किया गया है NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs और विशेष ऑफिस संस्करण पथों में।

हाल ही में उपयोग किए गए (MRU) आइटम

• MRU सूचियाँ, हाल ही में फ़ाइल पथ और कमांड को दर्शाती हैं, विभिन्न ComDlg32 और Explorer सबकी में NTUSER.DAT के तहत संग्रहीत होती हैं।

उपयोगकर्ता गतिविधि ट्रैकिंग

• यूज़र असिस्ट