mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-20 18:14:15 +00:00
7.2 KiB
7.2 KiB
Chaves de Registro do Windows Interessantes
Chaves de Registro do Windows Interessantes
Aprenda hacking AWS do zero ao herói com htARTE (Especialista em Equipe Vermelha AWS do HackTricks)!
Outras maneiras de apoiar o HackTricks:
- Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, verifique os PLANOS DE ASSINATURA!
- Adquira o swag oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe seus truques de hacking enviando PRs para os HackTricks e HackTricks Cloud repositórios do github.
Versão do Windows e Informações do Proprietário
- Localizado em
Software\Microsoft\Windows NT\CurrentVersion
, você encontrará a versão do Windows, Service Pack, horário de instalação e o nome do proprietário registrado de forma direta.
Nome do Computador
- O nome do host é encontrado em
System\ControlSet001\Control\ComputerName\ComputerName
.
Configuração do Fuso Horário
- O fuso horário do sistema é armazenado em
System\ControlSet001\Control\TimeZoneInformation
.
Rastreamento de Hora de Acesso
- Por padrão, o rastreamento da última hora de acesso está desativado (
NtfsDisableLastAccessUpdate=1
). Para ativá-lo, use:fsutil behavior set disablelastaccess 0
Versões do Windows e Service Packs
- A versão do Windows indica a edição (por exemplo, Home, Pro) e sua versão (por exemplo, Windows 10, Windows 11), enquanto os Service Packs são atualizações que incluem correções e, às vezes, novos recursos.
Habilitando a Última Hora de Acesso
- Habilitar o rastreamento da última hora de acesso permite ver quando os arquivos foram abertos pela última vez, o que pode ser crítico para análise forense ou monitoramento do sistema.
Detalhes de Informações de Rede
- O registro contém dados extensos sobre configurações de rede, incluindo tipos de redes (sem fio, cabo, 3G) e categorias de rede (Pública, Privada/Doméstica, Domínio/Trabalho), que são vitais para entender as configurações de segurança de rede e permissões.
Cache do Lado do Cliente (CSC)
- CSC melhora o acesso a arquivos offline armazenando cópias de arquivos compartilhados. Diferentes configurações de CSCFlags controlam como e quais arquivos são armazenados em cache, afetando o desempenho e a experiência do usuário, especialmente em ambientes com conectividade intermitente.
Programas de Inicialização Automática
- Programas listados em várias chaves de registro
Run
eRunOnce
são lançados automaticamente na inicialização, afetando o tempo de inicialização do sistema e potencialmente sendo pontos de interesse para identificar malware ou software indesejado.
Shellbags
- Shellbags não apenas armazenam preferências para visualizações de pastas, mas também fornecem evidências forenses de acesso a pastas mesmo que a pasta não exista mais. São inestimáveis para investigações, revelando atividades do usuário que não são óbvias por outros meios.
Informações e Forense de USB
- Os detalhes armazenados no registro sobre dispositivos USB podem ajudar a rastrear quais dispositivos foram conectados a um computador, potencialmente vinculando um dispositivo a transferências de arquivos sensíveis ou incidentes de acesso não autorizado.
Número de Série do Volume
- O Número de Série do Volume pode ser crucial para rastrear a instância específica de um sistema de arquivos, útil em cenários forenses onde a origem do arquivo precisa ser estabelecida em diferentes dispositivos.
Detalhes de Desligamento
- O horário e a contagem de desligamentos (apenas para XP) são mantidos em
System\ControlSet001\Control\Windows
eSystem\ControlSet001\Control\Watchdog\Display
.
Configuração de Rede
- Para informações detalhadas da interface de rede, consulte
System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}
. - Os horários da primeira e última conexão de rede, incluindo conexões VPN, são registrados em vários caminhos em
Software\Microsoft\Windows NT\CurrentVersion\NetworkList
.
Pastas Compartilhadas
- As pastas compartilhadas e configurações estão em
System\ControlSet001\Services\lanmanserver\Shares
. As configurações de Cache do Lado do Cliente (CSC) ditam a disponibilidade de arquivos offline.
Programas que Iniciam Automaticamente
- Caminhos como
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run
e entradas semelhantes emSoftware\Microsoft\Windows\CurrentVersion
detalham programas configurados para serem executados na inicialização.
Pesquisas e Caminhos Digitados
- As pesquisas do Explorador e os caminhos digitados são rastreados no registro em
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer
para WordwheelQuery e TypedPaths, respectivamente.
Documentos Recentes e Arquivos do Office
- Documentos recentes e arquivos do Office acessados são registrados em
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
e caminhos específicos de versões do Office.
Itens Mais Recentes Usados (MRU)
- Listas MRU, indicando caminhos e comandos de arquivos recentes, são armazenadas em várias subchaves
ComDlg32
eExplorer
emNTUSER.DAT
.
Rastreamento de Atividade do Usuário
- O recurso User Assist registra estatísticas detalhadas de uso de aplicativos, incluindo contagem de execuções e última vez executado em
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count
.
Análise de Shellbags
- Shellbags, revelando detalhes de acesso a pastas, são armazenados em
USRCLASS.DAT
eNTUSER.DAT
emSoftware\Microsoft\Windows\Shell
. Use Shellbag Explorer para análise.
Histórico de Dispositivos USB
HKLM\SYSTEM\ControlSet001\Enum\USBSTOR
eHKLM\SYSTEM\ControlSet001\Enum\USB
contêm detalhes ricos sobre dispositivos USB conectados, incluindo fabricante, nome do produto e horários de conexão.- O usuário associado a um dispositivo USB específico pode ser identificado pesquisando as colmeias
NTUSER.DAT
para o {GUID} do dispositivo. - O último dispositivo montado e seu número de série de volume podem ser rastreados por meio de
System\MountedDevices
eSoftware\Microsoft\Windows NT\CurrentVersion\EMDMgmt
, respectivamente.
Este guia condensa os caminhos e métodos cruciais para acessar informações detalhadas do sistema, rede e atividade do usuário em sistemas Windows, visando clareza e usabilidade.