Die Windows Registry speichert Informationen zu installierten Programmen und Aktivitäten der Benutzer. Genau aus diesem Grund spielt sie für IT-Forensiker eine wichtige Rolle. Denn in der Windows Registry können digitale Spuren ausgelesen werden, um Straftaten aufzuklären und gegebenenfalls den Täter zu benennen. In dieser Blog-Serie möchten wir Sie über die Möglichkeiten der Windows Registry für IT-Forensiker aufklären.
Der Inhalt im Überblick
- Artikel zur Windows Registry Forensik
- Welche Dateien wurden geöffnet?
- Wurden USB-Geräte vom Benutzer verwendet?
- Welche Programme wurden ausgeführt?
- Den Fernzugriff nachweisen
- Installierte Programme
- Informationen zum System auslesen
- USB-Laufwerksnutzung am System
- Dienste und Aufgaben auswerten
- Spezielle Konfigurationsdaten auslesen
- Dokumenten einem Datenträger zuordnen
- Spezielle Programminformationen auslesen
- Alle jemals verbundenen Netzwerke
- Geolokalisierung eines Windows-Systems
- Benutzer- und Login-Daten auslesen
- Detaillierte Informationen zu Ordnerzugriffen
Artikel zur Windows Registry Forensik
Da in den meisten Unternehmen Windows-Betriebssysteme im Einsatz sind, beschäftigen wir uns in unserer Blog-Serie ausschließlich mit der Windows Registry. Auch für den Benutzer ist es einmal interessant zu erfahren, was vom Windows-Betriebssystem eigentlich alles an Interaktionen gespeichert wird und vor allem wo.
Welche Dateien wurden geöffnet?
Im ersten Teil unserer Reihe widmen wir uns dem Bereich in der Registry, der dem Benutzer zugeordnet ist. Jeder Benutzer besitzt eine persönliche NTUSER.DAT, in welcher Konfigurationen und Interaktionen von diesem gespeichert sind. Diese eignet sich u. a. dazu, Kenntnisse über Daten oder die Öffnung von Dokumenten nachzuweisen, welche Malware enthalten. Weiterlesen →
Wurden USB-Geräte vom Benutzer verwendet?
Datendiebstahl wird häufig mit Hilfe von externen Speichermedien begangen. Den Gebrauch dieser in Verbindung mit einem bestimmten Benutzer dabei nachzuweisen ist elementar. In diesem Artikel schauen wir uns an, was die NTUSER.DAT über USB-Geräte verrät und den Benutzer, der sie verwendet. Weiterlesen →
Welche Programme wurden ausgeführt?
Der dritte Teil dieser Reihe wird sich weiterhin mit der NTUSER.DAT beschäftigen. Es werden mehrere Speicherorte für die Programmausführungen dargestellt. Eine Analyse von Programmausführungen ist dann sinnvoll, wenn z. B. festgestellt werden soll, von welchem Benutzerkonto Schadsoftware ausgeführt wurde. Weiterlesen →
Den Fernzugriff nachweisen
Wenn ein Gerät auf ein anderes Gerät über RDP oder eine Netzwerkverbindung zugreifen möchte, werden dazu benutzerspezifisch Informationen in die NTUSER.DAT geschrieben. Es können Informationen, wie das Datum der letzten Ausführung und auch die Anzahl der Ausführungen festgestellt werden. Weiterlesen →
Installierte Programme
Wird ein Programm unter Windows installiert, so prüft das System die ausführbare Datei auf mögliche Kompatibilitätsprobleme und legt diese Informationen in einer Datenbank ab. Auf diese Weise wird die Funktionalität älterer Programme auch für neue Versionen von Windows-Betriebssystemen gewährleistet. Anhand der Angaben können Rückschlüsse auf Programmausführungen und malwarebezogene Spuren gezogen werden. Weiterlesen →
Informationen zum System auslesen
Dieser Artikel beschäftigt sich mit dem System-Hive. Bevor eine IT-forensische Analyse in die Tiefe geht, müssen Informationen über das System festgestellt werden. Anhand des Computernamen kann festgestellt werden, ob das richtige Gerät analysiert wird. Die Feststellung der Zeitzone ist ebenso von Bedeutung, da diese für das Umrechnen zwischen UTC und lokaler Zeit notwendig ist. Weiterlesen →
USB-Laufwerksnutzung am System
In diesem Artikel betrachten wir die Benutzerebene. Zusätzlich lassen sich aber generell Aussagen zu den am System angeschlossene Geräte treffen. Zu klärende Fragen sind u. a. die Zuordnung eines Geräts zum Laufwerkbuchstaben oder dessen Seriennummer. Weiterlesen →
Dienste und Aufgaben auswerten
Besonders bei der Malwareanalyse sind die konfigurierten Aufgaben und Dienste von großer Bedeutung. Durch Erstellung eines neuen Dienstes sorgt eine Schadsoftware oft dafür, dass sie nachhaltig im System verbleibt. In diesem Teil werfen wir deshalb einen genaueren Blick auf die Aufgaben und Dienste, um unerwünschte Programme zu enttarnen. Weiterlesen →
Spezielle Konfigurationsdaten auslesen
Konfigurationsdaten von Programmen sind ebenso wichtig wie generelle Informationen zum Betriebssystem. Sie dienen während einer IT-forensischen Analyse dazu, dass die richtigen Informationen gefunden und ausgewertet werden. In diesem Artikel erfahren Sie, wie die Version des Betriebssystems und Informationen zu Programmen dazu beitragen, weitere wichtige Spuren auf der Dateisystemebene aufzufinden. Weiterlesen →
Dokumenten einem Datenträger zuordnen
In diesem Artikel wird eine Verbindung zwischen dem Artikel „Daten verraten: USB-Laufwerksnutzung am System“ und „Daten verraten: Welche Dateien wurden geöffnet?“ gezogen. Auf Grundlage von erstellten Volume-IDs in der Registry, ist es möglich einzelnen Dateien ein genaues USB-Gerät zuzuweisen. Somit kann festgestellt werden, welche Datei auf welchem externen Speichermedium lag. Weiterlesen →
Spezielle Programminformationen auslesen
Unter speziellen Programminformationen wird bespielweise verstanden, welchen Patch-Stand das Programm hat und wann dieses durchgeführt wurde. Ist das Programm von einer Quelle geladen, welche als vertrauenswürdig gilt? Mittels dieser Informationen können Sicherheitslücken in Programmen detektiert werden, welche von Schadsoftware ausgenutzt werden können, um sich auf einem Gerät oder dem Netzwerk zu verbreiten. Weiterlesen →
Alle jemals verbundenen Netzwerke
Network Location Awareness (NLA) wurde mit Windows 7 eingeführt. Es erleichtert die Identifikation, mit welchem Netzwerk ein Computer verbunden sein könnte. Diese Informationen sind in der Administration zum Anpassen der Firewall von Bedeutung. Aber auch für die IT-Forensik lassen sich hier einzigartige Informationen auslesen. Weiterlesen →
Geolokalisierung eines Windows-Systems
Man nehme die MAC-Adresse und die SSID eines jemals verbundenen drahtlosen Netzwerks und versuche die geografische Lage des Zugriffspunkts für die Verbindung zu bestimmen. Die Möglichkeit einen genauen Standort und die Verbindungszeit eines bestimmten Computers herauszufinden, kann äußerst relevant sein. Weiterlesen →
Benutzer- und Login-Daten auslesen
Der SAM-Hive beinhaltet eine Liste der lokalen Benutzer eines Windows-Systems. Entdecken Sie mit uns den Benutzernamen, die SID (Security Identifier) und erstellen Sie ein Benutzerprofil. Die letzte Anmeldungszeit, Zeit der letzten fehlgeschlagenen Anmeldungen, die Anzahl der Anmeldungen und die Erstellungszeit eines Benutzerkontos geben z. B. Aufschluss darüber, wie aktiv ein Benutzer das System benutzt. Weiterlesen →
Detaillierte Informationen zu Ordnerzugriffen
Im letzten Teil klären wir, wie Bewegungen durch das Dateisystem nachvollzogen werden können. Welche Ordner hat der Benutzer eingesehen? Welche externen Geräte waren angeschlossen und welche Daten befanden sich auf diesen? Diese und weitere Fragen werden im letzten Artikel der Windows Registry Forensik Serie beantwortet. Weiterlesen →
Sie schreiben als einleitenden Satz: „Die Windows Registry speichert alle installierten Programme und Aktivitäten eines Benutzers.“ So ist der Satz nicht korrekt. Besser wäre „Die Windows Registry speichert Informationen zu installierten Programmen und Aktivitäten der Benutzer.“ Von „alle“ kann keine Rede sein. Bzgl der Benutzeraktivitäten liegen Informationen in erster Linie in Log Files. Die Registry speichert vor allem Benutzereinstellungen.
Als Teaser ohne Inhalt lässt der Artikel so wenig Hoffnung für die eigentlichen Artikel aufkommen.
Vielen Dank für Ihren Hinweis. Den Artikel haben wir entsprechend angepasst.