Daten verraten: Einführung in die Windows Registry Forensik

Fachbeitrag

Die Windows Registry speichert Informationen zu installierten Programmen und Aktivitäten der Benutzer. Genau aus diesem Grund spielt sie für IT-Forensiker eine wichtige Rolle. Denn in der Windows Registry können digitale Spuren ausgelesen werden, um Straftaten aufzuklären und gegebenenfalls den Täter zu benennen. In dieser Blog-Serie möchten wir Sie über die Möglichkeiten der Windows Registry für IT-Forensiker aufklären.

Artikel zur Windows Registry Forensik

Da in den meisten Unternehmen Windows-Betriebssysteme im Einsatz sind, beschäftigen wir uns in unserer Blog-Serie ausschließlich mit der Windows Registry. Auch für den Benutzer ist es einmal interessant zu erfahren, was vom Windows-Betriebssystem eigentlich alles an Interaktionen gespeichert wird und vor allem wo.

Daten verraten: Welche Dateien wurden geöffnet?

Im ersten Teil unserer Reihe widmen wir uns dem Bereich in der Registry, der dem Benutzer zugeordnet ist. Jeder Benutzer besitzt eine persönliche NTUSER.DAT, in welcher Konfigurationen und Interaktionen von diesem gespeichert sind. Diese eignet sich u. a. dazu, Kenntnisse über Daten oder die Öffnung von Dokumenten nachzuweisen, welche Malware enthalten. Weiterlesen

Daten verraten: Wurden USB-Geräte vom Benutzer verwendet?

Datendiebstahl wird häufig mit Hilfe von externen Speichermedien begangen. Den Gebrauch dieser in Verbindung mit einem bestimmten Benutzer dabei nachzuweisen ist elementar. In diesem Artikel schauen wir uns an, was die NTUSER.DAT über USB-Geräte verrät und den Benutzer, der sie verwendet. Weiterlesen

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Sie schreiben als einleitenden Satz: „Die Windows Registry speichert alle installierten Programme und Aktivitäten eines Benutzers.“ So ist der Satz nicht korrekt. Besser wäre „Die Windows Registry speichert Informationen zu installierten Programmen und Aktivitäten der Benutzer.“ Von „alle“ kann keine Rede sein. Bzgl der Benutzeraktivitäten liegen Informationen in erster Linie in Log Files. Die Registry speichert vor allem Benutzereinstellungen.
    Als Teaser ohne Inhalt lässt der Artikel so wenig Hoffnung für die eigentlichen Artikel aufkommen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.