hacktricks/src/generic-methodologies-and-resources/basic-forensic-methodology/windows-forensics/interesting-windows-registry-keys.md

# Цікаві ключі реєстру Windows

{{#include ../../../banners/hacktricks-training.md}}

### **Інформація про версію Windows та власника**

- Розташована за адресою **`Software\Microsoft\Windows NT\CurrentVersion`**, ви знайдете версію Windows, Service Pack, час установки та ім'я зареєстрованого власника у зрозумілій формі.

### **Ім'я комп'ютера**

- Ім'я хоста знаходиться під **`System\ControlSet001\Control\ComputerName\ComputerName`**.

### **Налаштування часового поясу**

- Часовий пояс системи зберігається в **`System\ControlSet001\Control\TimeZoneInformation`**.

### **Відстеження часу доступу**

- За замовчуванням, відстеження останнього часу доступу вимкнено (**`NtfsDisableLastAccessUpdate=1`**). Щоб увімкнути його, використовуйте:
`fsutil behavior set disablelastaccess 0`

### Версії Windows та Service Packs

- **Версія Windows** вказує на вид (наприклад, Home, Pro) та його випуск (наприклад, Windows 10, Windows 11), тоді як **Service Packs** є оновленнями, які включають виправлення та, іноді, нові функції.

### Увімкнення часу останнього доступу

- Увімкнення відстеження часу останнього доступу дозволяє бачити, коли файли були востаннє відкриті, що може бути критично важливим для судової експертизи або моніторингу системи.

### Деталі інформації про мережу

- Реєстр містить обширні дані про мережеві конфігурації, включаючи **типи мереж (бездротові, кабельні, 3G)** та **категорії мереж (Публічна, Приватна/Домашня, Доменна/Робоча)**, які є важливими для розуміння налаштувань безпеки мережі та дозволів.

### Кешування на стороні клієнта (CSC)

- **CSC** покращує доступ до офлайн-файлів, кешуючи копії спільних файлів. Різні налаштування **CSCFlags** контролюють, як і які файли кешуються, впливаючи на продуктивність та досвід користувача, особливо в середовищах з переривчастим з'єднанням.

### Програми автозапуску

- Програми, перераховані в різних ключах реєстру `Run` та `RunOnce`, автоматично запускаються під час завантаження, впливаючи на час завантаження системи та потенційно будучи точками інтересу для виявлення шкідливого ПЗ або небажаного програмного забезпечення.

### Shellbags

- **Shellbags** не лише зберігають налаштування для перегляду папок, але й надають судові докази доступу до папок, навіть якщо папка більше не існує. Вони є безцінними для розслідувань, виявляючи активність користувача, яка не є очевидною через інші засоби.

### Інформація про USB та судова експертиза

- Деталі, збережені в реєстрі про USB-пристрої, можуть допомогти відстежити, які пристрої були підключені до комп'ютера, потенційно пов'язуючи пристрій з чутливими передачами файлів або інцидентами несанкціонованого доступу.

### Серійний номер тома

- **Серійний номер тома** може бути критично важливим для відстеження конкретного екземпляра файлової системи, корисним у судових сценаріях, де потрібно встановити походження файлу на різних пристроях.

### **Деталі завершення роботи**

- Час завершення роботи та кількість (остання лише для XP) зберігаються в **`System\ControlSet001\Control\Windows`** та **`System\ControlSet001\Control\Watchdog\Display`**.

### **Конфігурація мережі**

- Для детальної інформації про мережеві інтерфейси зверніться до **`System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}`**.
- Перші та останні часи мережевих з'єднань, включаючи VPN-з'єднання, реєструються під різними шляхами в **`Software\Microsoft\Windows NT\CurrentVersion\NetworkList`**.

### **Спільні папки**

- Спільні папки та налаштування знаходяться під **`System\ControlSet001\Services\lanmanserver\Shares`**. Налаштування кешування на стороні клієнта (CSC) визначають доступність офлайн-файлів.

### **Програми, які запускаються автоматично**

- Шляхи, такі як **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run`** та подібні записи під `Software\Microsoft\Windows\CurrentVersion`, детально описують програми, які налаштовані на запуск під час завантаження.

### **Пошуки та введені шляхи**

- Пошуки в Провіднику та введені шляхи відстежуються в реєстрі під **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer`** для WordwheelQuery та TypedPaths відповідно.

### **Недавні документи та файли Office**

- Недавні документи та файли Office, до яких було отримано доступ, зазначені в `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs` та специфічних шляхах версії Office.

### **Найбільш нещодавно використані (MRU) елементи**

- Списки MRU, що вказують на нещодавні шляхи файлів та команди, зберігаються в різних підключах `ComDlg32` та `Explorer` під `NTUSER.DAT`.

### **Відстеження активності користувача**

- Функція User Assist реєструє детальну статистику використання програм, включаючи кількість запусків та час останнього запуску, за адресою **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count`**.

### **Аналіз Shellbags**

- Shellbags, що розкривають деталі доступу до папок, зберігаються в `USRCLASS.DAT` та `NTUSER.DAT` під `Software\Microsoft\Windows\Shell`. Використовуйте **[Shellbag Explorer](https://ericzimmerman.github.io/#!index.md)** для аналізу.

### **Історія USB-пристроїв**

- **`HKLM\SYSTEM\ControlSet001\Enum\USBSTOR`** та **`HKLM\SYSTEM\ControlSet001\Enum\USB`** містять багаті деталі про підключені USB-пристрої, включаючи виробника, назву продукту та часові мітки підключення.
- Користувача, пов'язаного з конкретним USB-пристроєм, можна визначити, шукаючи в хівах `NTUSER.DAT` для **{GUID}** пристрою.
- Останній змонтований пристрій та його серійний номер тома можна відстежити через `System\MountedDevices` та `Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt` відповідно.

Цей посібник узагальнює ключові шляхи та методи для доступу до детальної інформації про систему, мережу та активність користувача на системах Windows, прагнучи до ясності та зручності використання.

{{#include ../../../banners/hacktricks-training.md}}