Daten verraten: Einführung in die Windows Registry Forensik

Fachbeitrag

Die Windows Registry speichert Informationen zu installierten Programmen und Aktivitäten der Benutzer. Genau aus diesem Grund spielt sie für IT-Forensiker eine wichtige Rolle. Denn in der Windows Registry können digitale Spuren ausgelesen werden, um Straftaten aufzuklären und gegebenenfalls den Täter zu benennen. In dieser Blog-Serie möchten wir Sie über die Möglichkeiten der Windows Registry für IT-Forensiker aufklären.

Artikel zur Windows Registry Forensik

Da in den meisten Unternehmen Windows-Betriebssysteme im Einsatz sind, beschäftigen wir uns in unserer Blog-Serie ausschließlich mit der Windows Registry. Auch für den Benutzer ist es einmal interessant zu erfahren, was vom Windows-Betriebssystem eigentlich alles an Interaktionen gespeichert wird und vor allem wo.

Welche Dateien wurden geöffnet?

Im ersten Teil unserer Reihe widmen wir uns dem Bereich in der Registry, der dem Benutzer zugeordnet ist. Jeder Benutzer besitzt eine persönliche NTUSER.DAT, in welcher Konfigurationen und Interaktionen von diesem gespeichert sind. Diese eignet sich u. a. dazu, Kenntnisse über Daten oder die Öffnung von Dokumenten nachzuweisen, welche Malware enthalten. Weiterlesen →

Wurden USB-Geräte vom Benutzer verwendet?

Datendiebstahl wird häufig mit Hilfe von externen Speichermedien begangen. Den Gebrauch dieser in Verbindung mit einem bestimmten Benutzer dabei nachzuweisen ist elementar. In diesem Artikel schauen wir uns an, was die NTUSER.DAT über USB-Geräte verrät und den Benutzer, der sie verwendet. Weiterlesen →

Welche Programme wurden ausgeführt?

Der dritte Teil dieser Reihe wird sich weiterhin mit der NTUSER.DAT beschäftigen. Es werden mehrere Speicherorte für die Programmausführungen dargestellt. Eine Analyse von Programmausführungen ist dann sinnvoll, wenn z. B. festgestellt werden soll, von welchem Benutzerkonto Schadsoftware ausgeführt wurde. Weiterlesen →

Den Fernzugriff nachweisen

Wenn ein Gerät auf ein anderes Gerät über RDP oder eine Netzwerkverbindung zugreifen möchte, werden dazu benutzerspezifisch Informationen in die NTUSER.DAT geschrieben. Es können Informationen, wie das Datum der letzten Ausführung und auch die Anzahl der Ausführungen festgestellt werden. Weiterlesen →

Installierte Programme

Wird ein Programm unter Windows installiert, so prüft das System die ausführbare Datei auf mögliche Kompatibilitätsprobleme und legt diese Informationen in einer Datenbank ab. Auf diese Weise wird die Funktionalität älterer Programme auch für neue Versionen von Windows-Betriebssystemen gewährleistet. Anhand der Angaben können Rückschlüsse auf Programmausführungen und malwarebezogene Spuren gezogen werden. Weiterlesen →

Informationen zum System auslesen

Dieser Artikel beschäftigt sich mit dem System-Hive. Bevor eine IT-forensische Analyse in die Tiefe geht, müssen Informationen über das System festgestellt werden. Anhand des Computernamen kann festgestellt werden, ob das richtige Gerät analysiert wird. Die Feststellung der Zeitzone ist ebenso von Bedeutung, da diese für das Umrechnen zwischen UTC und lokaler Zeit notwendig ist. Weiterlesen →

USB-Laufwerksnutzung am System

In diesem Artikel betrachten wir die Benutzerebene. Zusätzlich lassen sich aber generell Aussagen zu den am System angeschlossene Geräte treffen. Zu klärende Fragen sind u. a. die Zuordnung eines Geräts zum Laufwerkbuchstaben oder dessen Seriennummer. Weiterlesen →

Dienste und Aufgaben auswerten

Besonders bei der Malwareanalyse sind die konfigurierten Aufgaben und Dienste von großer Bedeutung. Durch Erstellung eines neuen Dienstes sorgt eine Schadsoftware oft dafür, dass sie nachhaltig im System verbleibt. In diesem Teil werfen wir deshalb einen genaueren Blick auf die Aufgaben und Dienste, um unerwünschte Programme zu enttarnen. Weiterlesen →

Spezielle Konfigurationsdaten auslesen

Konfigurationsdaten von Programmen sind ebenso wichtig wie generelle Informationen zum Betriebssystem. Sie dienen während einer IT-forensischen Analyse dazu, dass die richtigen Informationen gefunden und ausgewertet werden. In diesem Artikel erfahren Sie, wie die Version des Betriebssystems und Informationen zu Programmen dazu beitragen, weitere wichtige Spuren auf der Dateisystemebene aufzufinden. Weiterlesen →

Dokumenten einem Datenträger zuordnen

In diesem Artikel wird eine Verbindung zwischen dem Artikel „Daten verraten: USB-Laufwerksnutzung am System“ und „Daten verraten: Welche Dateien wurden geöffnet?“ gezogen. Auf Grundlage von erstellten Volume-IDs in der Registry, ist es möglich einzelnen Dateien ein genaues USB-Gerät zuzuweisen. Somit kann festgestellt werden, welche Datei auf welchem externen Speichermedium lag. Weiterlesen →

Spezielle Programminformationen auslesen

Unter speziellen Programminformationen wird bespielweise verstanden, welchen Patch-Stand das Programm hat und wann dieses durchgeführt wurde. Ist das Programm von einer Quelle geladen, welche als vertrauenswürdig gilt? Mittels dieser Informationen können Sicherheitslücken in Programmen detektiert werden, welche von Schadsoftware ausgenutzt werden können, um sich auf einem Gerät oder dem Netzwerk zu verbreiten. Weiterlesen →

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Forensik

2 Kommentare zu diesem Beitrag

  1. Sie schreiben als einleitenden Satz: „Die Windows Registry speichert alle installierten Programme und Aktivitäten eines Benutzers.“ So ist der Satz nicht korrekt. Besser wäre „Die Windows Registry speichert Informationen zu installierten Programmen und Aktivitäten der Benutzer.“ Von „alle“ kann keine Rede sein. Bzgl der Benutzeraktivitäten liegen Informationen in erster Linie in Log Files. Die Registry speichert vor allem Benutzereinstellungen.
    Als Teaser ohne Inhalt lässt der Artikel so wenig Hoffnung für die eigentlichen Artikel aufkommen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.