mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
102 lines
6.5 KiB
Markdown
102 lines
6.5 KiB
Markdown
# Interessante Windows-Registrierungsschlüssel
|
|
|
|
### Interessante Windows-Registrierungsschlüssel
|
|
|
|
{{#include ../../../banners/hacktricks-training.md}}
|
|
|
|
### **Windows-Version und Besitzerinformationen**
|
|
|
|
- Unter **`Software\Microsoft\Windows NT\CurrentVersion`** finden Sie die Windows-Version, das Service Pack, die Installationszeit und den Namen des registrierten Eigentümers auf einfache Weise.
|
|
|
|
### **Computername**
|
|
|
|
- Der Hostname befindet sich unter **`System\ControlSet001\Control\ComputerName\ComputerName`**.
|
|
|
|
### **Zeitzoneneinstellung**
|
|
|
|
- Die Zeitzone des Systems wird in **`System\ControlSet001\Control\TimeZoneInformation`** gespeichert.
|
|
|
|
### **Zugriffszeitverfolgung**
|
|
|
|
- Standardmäßig ist die Verfolgung der letzten Zugriffszeit deaktiviert (**`NtfsDisableLastAccessUpdate=1`**). Um sie zu aktivieren, verwenden Sie:
|
|
`fsutil behavior set disablelastaccess 0`
|
|
|
|
### Windows-Versionen und Service Packs
|
|
|
|
- Die **Windows-Version** gibt die Edition an (z. B. Home, Pro) und deren Veröffentlichung (z. B. Windows 10, Windows 11), während **Service Packs** Updates sind, die Fehlerbehebungen und manchmal neue Funktionen enthalten.
|
|
|
|
### Aktivierung der letzten Zugriffszeit
|
|
|
|
- Die Aktivierung der Verfolgung der letzten Zugriffszeit ermöglicht es Ihnen zu sehen, wann Dateien zuletzt geöffnet wurden, was für forensische Analysen oder Systemüberwachung entscheidend sein kann.
|
|
|
|
### Netzwerkdetails
|
|
|
|
- Die Registrierung enthält umfangreiche Daten zu Netzwerkkonfigurationen, einschließlich **Netzwerktypen (drahtlos, kabelgebunden, 3G)** und **Netzwerkkategorien (Öffentlich, Privat/Zuhause, Domäne/Arbeit)**, die für das Verständnis von Netzwerksicherheitseinstellungen und Berechtigungen von entscheidender Bedeutung sind.
|
|
|
|
### Client-Seitige Caching (CSC)
|
|
|
|
- **CSC** verbessert den Offline-Dateizugriff, indem Kopien von freigegebenen Dateien zwischengespeichert werden. Verschiedene **CSCFlags**-Einstellungen steuern, wie und welche Dateien zwischengespeichert werden, was die Leistung und Benutzererfahrung beeinflusst, insbesondere in Umgebungen mit intermittierender Konnektivität.
|
|
|
|
### Autostart-Programme
|
|
|
|
- Programme, die in verschiedenen `Run`- und `RunOnce`-Registrierungsschlüsseln aufgeführt sind, werden beim Start automatisch gestartet, was die Bootzeit des Systems beeinflusst und potenziell Punkte von Interesse zur Identifizierung von Malware oder unerwünschter Software sein kann.
|
|
|
|
### Shellbags
|
|
|
|
- **Shellbags** speichern nicht nur Präferenzen für Ordnersichten, sondern liefern auch forensische Beweise für den Ordnerzugriff, selbst wenn der Ordner nicht mehr existiert. Sie sind für Ermittlungen von unschätzbarem Wert, da sie Benutzeraktivitäten offenbaren, die durch andere Mittel nicht offensichtlich sind.
|
|
|
|
### USB-Informationen und Forensik
|
|
|
|
- Die in der Registrierung gespeicherten Details zu USB-Geräten können helfen, nachzuvollziehen, welche Geräte mit einem Computer verbunden waren, was möglicherweise ein Gerät mit sensiblen Dateiübertragungen oder Vorfällen unbefugten Zugriffs verknüpfen kann.
|
|
|
|
### Volumenseriennummer
|
|
|
|
- Die **Volumenseriennummer** kann entscheidend sein, um die spezifische Instanz eines Dateisystems zu verfolgen, was in forensischen Szenarien nützlich ist, in denen der Ursprung von Dateien über verschiedene Geräte hinweg festgestellt werden muss.
|
|
|
|
### **Herunterfahrdetails**
|
|
|
|
- Die Herunterfahrzeit und -anzahl (letzteres nur für XP) werden in **`System\ControlSet001\Control\Windows`** und **`System\ControlSet001\Control\Watchdog\Display`** gespeichert.
|
|
|
|
### **Netzwerkkonfiguration**
|
|
|
|
- Für detaillierte Informationen zu Netzwerkinterfaces verweisen Sie auf **`System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}`**.
|
|
- Erste und letzte Netzwerkverbindungszeiten, einschließlich VPN-Verbindungen, werden unter verschiedenen Pfaden in **`Software\Microsoft\Windows NT\CurrentVersion\NetworkList`** protokolliert.
|
|
|
|
### **Freigegebene Ordner**
|
|
|
|
- Freigegebene Ordner und Einstellungen befinden sich unter **`System\ControlSet001\Services\lanmanserver\Shares`**. Die Einstellungen für das Client-Seitige Caching (CSC) bestimmen die Verfügbarkeit von Offline-Dateien.
|
|
|
|
### **Programme, die automatisch starten**
|
|
|
|
- Pfade wie **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run`** und ähnliche Einträge unter `Software\Microsoft\Windows\CurrentVersion` geben Programme an, die beim Start ausgeführt werden sollen.
|
|
|
|
### **Suchanfragen und eingegebene Pfade**
|
|
|
|
- Explorer-Suchanfragen und eingegebene Pfade werden in der Registrierung unter **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer`** für WordwheelQuery und TypedPaths protokolliert.
|
|
|
|
### **Kürzlich verwendete Dokumente und Office-Dateien**
|
|
|
|
- Kürzlich aufgerufene Dokumente und Office-Dateien werden in `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs` und spezifischen Office-Version-Pfaden vermerkt.
|
|
|
|
### **Zuletzt verwendete (MRU) Elemente**
|
|
|
|
- MRU-Listen, die kürzliche Dateipfade und Befehle anzeigen, werden in verschiedenen `ComDlg32`- und `Explorer`-Unterklassen unter `NTUSER.DAT` gespeichert.
|
|
|
|
### **Benutzeraktivitätsverfolgung**
|
|
|
|
- Die Benutzerassistenzfunktion protokolliert detaillierte Anwendungsnutzungsstatistiken, einschließlich der Anzahl der Ausführungen und der letzten Ausführungszeit, unter **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count`**.
|
|
|
|
### **Shellbags-Analyse**
|
|
|
|
- Shellbags, die Details zum Ordnerzugriff offenbaren, werden in `USRCLASS.DAT` und `NTUSER.DAT` unter `Software\Microsoft\Windows\Shell` gespeichert. Verwenden Sie **[Shellbag Explorer](https://ericzimmerman.github.io/#!index.md)** zur Analyse.
|
|
|
|
### **USB-Gerätehistorie**
|
|
|
|
- **`HKLM\SYSTEM\ControlSet001\Enum\USBSTOR`** und **`HKLM\SYSTEM\ControlSet001\Enum\USB`** enthalten umfangreiche Details zu angeschlossenen USB-Geräten, einschließlich Hersteller, Produktname und Verbindungszeitstempel.
|
|
- Der Benutzer, der mit einem bestimmten USB-Gerät verbunden ist, kann ermittelt werden, indem die `NTUSER.DAT`-Hives nach der **{GUID}** des Geräts durchsucht werden.
|
|
- Das zuletzt montierte Gerät und seine Volumenseriennummer können über `System\MountedDevices` und `Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt` zurückverfolgt werden.
|
|
|
|
Dieser Leitfaden fasst die entscheidenden Pfade und Methoden zum Zugriff auf detaillierte System-, Netzwerk- und Benutzeraktivitätsinformationen auf Windows-Systemen zusammen, mit dem Ziel, Klarheit und Benutzerfreundlichkeit zu gewährleisten.
|
|
|
|
{{#include ../../../banners/hacktricks-training.md}}
|