hacktricks/forensics/basic-forensic-methodology/windows-forensics/interesting-windows-registry-keys.md

İlginç Windows Kayıt Defteri Anahtarları

İlginç Windows Kayıt Defteri Anahtarları

{% hint style="success" %} AWS Hacking'i öğrenin ve uygulayın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE)
GCP Hacking'i öğrenin ve uygulayın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)

HackTricks'i Destekleyin

• Abonelik planlarını kontrol edin!
• 💬 Discord grubuna katılın veya telegram grubuna katılın veya bizi Twitter 🐦 @hacktricks_live** takip edin.**
• Hacking püf noktalarını paylaşarak HackTricks ve HackTricks Cloud github depolarına PR gönderin.

{% endhint %}

Windows Sürümü ve Sahip Bilgileri

• Software\Microsoft\Windows NT\CurrentVersion altında, Windows sürümü, Service Pack, kurulum zamanı ve kayıtlı sahibin adını açık bir şekilde bulabilirsiniz.

Bilgisayar Adı

• Ana bilgisayar adı System\ControlSet001\Control\ComputerName\ComputerName altında bulunur.

Zaman Dilimi Ayarı

• Sistemin zaman dilimi System\ControlSet001\Control\TimeZoneInformation içinde saklanır.

Erişim Zamanı Takibi

• Varsayılan olarak, son erişim zamanı takibi kapatılmıştır (NtfsDisableLastAccessUpdate=1). Etkinleştirmek için şunu kullanın: fsutil behavior set disablelastaccess 0

Windows Sürümleri ve Service Pack'ler

• Windows sürümü, sürümü (örneğin, Ev, Pro) ve çıkışı (örneğin, Windows 10, Windows 11) belirtirken, Service Pack'ler düzeltmeleri ve bazen yeni özellikleri içeren güncellemelerdir.

Son Erişim Zamanını Etkinleştirme

• Son erişim zamanı takibini etkinleştirmek, dosyaların ne zaman en son açıldığını görmeyi sağlar; bu, adli analiz veya sistem izleme için önemli olabilir.

Ağ Bilgisi Detayları

• Kayıt defteri, ağ yapılandırmaları hakkında kapsamlı veriler içerir, ağ türleri (kablosuz, kablo, 3G) ve ağ kategorileri (Genel, Özel/Ev, Etki Alanı/İş) gibi, ağ güvenlik ayarlarını ve izinleri anlamak için hayati önem taşır.

İstemci Tarafı Önbelleği (CSC)

• CSC, paylaşılan dosyaların kopyalarını önbelleğe alarak çevrimdışı dosya erişimini geliştirir. Farklı CSCFlags ayarları, hangi dosyaların ve nasıl önbelleğe alındığını kontrol eder, özellikle kesintili bağlantıların olduğu ortamlarda performansı ve kullanıcı deneyimini etkiler.

Otomatik Başlangıç Programları

• Başlangıçta otomatik olarak başlatılan programlar, sistem başlatma süresini etkiler ve kötü amaçlı yazılımları veya istenmeyen yazılımları tanımlamak için ilgi noktaları olabilir, çeşitli Run ve RunOnce kayıt defteri anahtarlarında listelenirler.

Shellbags

• Shellbags, sadece klasör görünümleri için tercihleri depolamakla kalmaz, aynı zamanda klasörün artık mevcut olmasa bile erişildiğine dair adli kanıtlar sağlar. Diğer yöntemlerle açık olmayan kullanıcı etkinliğini ortaya çıkarmak için değerlidir.

USB Bilgisi ve Adli Bilişim

• USB cihazları hakkında kayıt defterinde saklanan ayrıntılar, bir bilgisayara bağlanan hangi cihazların izini sürmeye yardımcı olabilir, potansiyel olarak bir cihazı hassas dosya transferleri veya izinsiz erişim olaylarıyla ilişkilendirebilir.

Hacim Seri Numarası

• Hacim Seri Numarası, dosya sisteminin belirli bir örneğini izlemek için kritik olabilir, dosya kaynağının farklı cihazlar arasında belirlenmesi gereken adli senaryolarda faydalıdır.

Kapanma Ayrıntıları

• Kapanma zamanı ve sayısı (yalnızca XP için) System\ControlSet001\Control\Windows ve System\ControlSet001\Control\Watchdog\Display içinde saklanır.

Ağ Yapılandırması

• Ayrıntılı ağ arayüzü bilgileri için System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}'e bakın.
• İlk ve son ağ bağlantı zamanları, VPN bağlantıları da dahil olmak üzere, Software\Microsoft\Windows NT\CurrentVersion\NetworkList içinde çeşitli yollarda kaydedilir.

Paylaşılan Klasörler

• Paylaşılan klasörler ve ayarlar System\ControlSet001\Services\lanmanserver\Shares altında bulunur. İstemci Tarafı Önbelleği (CSC) ayarları çevrimdışı dosya erişilebilirliğini belirler.

Otomatik Başlayan Programlar

• NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run gibi yollar ve başlangıçta çalışacak programları ayrıntılandıran Software\Microsoft\Windows\CurrentVersion altındaki benzer girişler.

Aramalar ve Yazılan Yollar

• Araştırıcı aramaları ve yazılan yollar, WordwheelQuery ve TypedPaths için sırasıyla NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer altında kaydedilir.

Son Belgeler ve Office Dosyaları

• Erişilen son belgeler ve Office dosyaları, NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs ve belirli Office sürümü yollarında belirtilir.

En Son Kullanılan (MRU) Öğeler

• En son kullanılan dosya yollarını ve komutları gösteren MRU listeleri, NTUSER.DAT altındaki çeşitli ComDlg32 ve Explorer alt anahtarlarında saklanır.

Kullanıcı Etkinlik Takibi

• Kullanıcı Yardımı özelliği, ayrıntılı uygulama kullanım istatistiklerini, çalıştırma sayısını ve son çalıştırma zamanını NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count altında kaydeder.

Shellbags Analizi

• Klasör erişim ayrıntılarını ortaya çıkaran Shellbags, analiz için USRCLASS.DAT ve NTUSER.DAT altında Software\Microsoft\Windows\Shell içinde saklanır. Analiz için Shellbag Explorer kullanın.

USB Cihaz Geçmişi

• HKLM\SYSTEM\ControlSet001\Enum\USBSTOR ve HKLM\SYSTEM\ControlSet001\Enum\USB bağlı USB cihazları hakkında zengin ayrıntılar içerir, üretici, ürün adı ve bağlantı zaman damgaları gibi.
• Belirli bir USB cihazıyla ilişkilendirilen kullanıcı, cihazın {GUID}'sini arayarak NTUSER.DAT hive'larında belirlenebilir.
• Son bağlanan cihaz ve hacim seri numarası, sırasıyla System\MountedDevices ve Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt içinde izlenebilir.

Bu kılavuz, Windows sistemlerinde detaylı sistem, ağ ve kullanıcı etkinlik bilgilerine erişmek için önemli yolları ve yöntemleri özlü ve kullanışlı bir şekilde özetler.