In iX 01/2011 ist ein Artikel zur forensischen Analyse der Windows-Registry erschienen. Maßgeblicher Autor ist Alexander Sigel, ein Kollege aus meinem Forensik-Team . Aus Platzgründen haben es leider nicht alle Informationen in den Artikel geschafft. Diese finden sich nun hier.
Download der kompletten zusätzlichen Informationen in einem Dokument.
Welche Informationen kann man grundsätzlich mittels Registry-Analyse herausfinden?
Für Forensiker sind beispielsweise folgende Informationen nützlich:
- Welche Details über das System und Windows gibt es? Welche davon sind zur Identifikation nützlich (z.B. Name der registrierten Person, MAC-Adresse)?
- Welche Kennungen gibt es (technische und für Nutzer) und wann waren diese zuletzt verwendet?
- Welche Programme sind installiert? Wann wurde diese installiert bzw. deinstalliert? Von welcher Quelle wurden Programme installiert?
- Welche Anwendungen wurden wann zuletzt genutzt?
- Welche spezielle Software lässt sich nachweisen (z.B. Anti-Forensik-Software, Software zur Elimination von Beweisen, Brenn-Programme, Malware)? Wann hat Malware etwas Verdächtiges installiert?
- Welche Hardware gibt es im System?
- Welche Gerätetreiber sind installiert?
- Welche Dienste sind installiert?
- Welche Partitionen gibt es und welche Signaturen haben diese? Gibt es alte Partitionen?
- Welche Dateisysteme sind installiert?
- Auf welche Dateien wurde zuletzt zugegriffen? Welche Dateien wurden gespeichert? Welche Verknüpfungen auf Dateien wurden gesetzt?
- Welche Shares gibt es?
- Welche Kommandos wurden vom Kommando-Prompt aus aufgerufen?
- Welche Geräte, insbesondere mobilen Medien (z.B. USB-Sticks, Digitalkameras) waren wann mit dem Rechner verbunden, und welche Seriennummern haben diese?
- Welche Verzeichnisse waren wann mit dem System verbunden (auch solche auf angeschlossenen mobilen Medien)? Unter welchen Laufwerksbuchstaben?
- Welche Nutzernamen und Kennwörter wurden für Windows, Programme, e-Mail und Internet verwendet?
- Welche Websites wurden wann besucht?
- Welche Werte wurden in Formulare von Webseiten eingegeben?
- Wonach wurde im lokalen System sowie bei Internet-Suchmaschinen gesucht?
- Mit welchen Einstellungen der Netzwerkkarten war der Rechner zuletzt mit welchen Netzwerken (inkl. WLANs) verbunden?
- Welche Ports wurden benutzt?
- Gibt es Artefakte, die auf einen Informationsabfluss über USB-Laufwerke oder das Brennen von CD-ROMs hindeuten? Von welchem Nutzerkonto aus wurde ein USB-Stick genutzt?
- Welche Artefakte haben Peer-to-Peer-Programme erzeugt?
- Zeitstempel-Analyse: Wie ergänzen welche Zeitstempel andere Zeitstempel-Analysen?
- Für welche Zeitzonen wurde der Rechner konfiguriert?
- Wurden Zeitstempel in anderen Bereichen manipuliert?
- Gibt es auffällige Zeitstempel, die älter sind als das Erstellungsdatum des letzten Dateisystems oder neuer als das letzte Herunterfahren des Systems?
- Gibt es Inkonsistenzen zwischen Zeitstempeln untereinander oder in Bezug auf externe Zeitgeber?
Es gibt folgende sieben Wurzelschlüssel, von denen zwei nicht als physische Datei abgelegt werden: a) Wurzelschlüssel, die physischen Dateien entsprechen:
Wurzelschlüssel | Abkür-zung | Funktion |
HKEY_CLASSES_ROOT = HKLM\Software\Classes | HKCR | Registrierte Anwendungen. Zuweisungen zu Dateierweiterungen und die OLE-Datenbank. Ab Windows 2000 sind sowohl Nutzer- als auch System-basierte Informationen enthalten, mit Vorrang der Nutzer-basierten |
HKEY_CURRENT_USER= HKU\<SID> | HKCU | Spezifische Einstellungen des gegenwärtig angemeldeten Nutzers (Benutzerinformationen, Präferenzen und Einstellungen) |
HKEY_LOCAL_MACHINE | HKLM | Spezifische Einstellungen des lokalen Rechners (Software, Hardware, Sicherheitseinstellungen, etc.) |
HKEY_USERS | HKU | Unterschlüssel für jedes aktiv geladene Nutzerprofil (Standardprofil und gegenwärtig angemeldeter Nutzer) |
HKEY_PERFOMANCE_DATA | – | Zur Laufzeit vom Kernel oder bestimmten Programmen bereitgestellte Informationen über die Systemleistung (wird nicht von RegEdit angezeigt!) |
b) Wurzelschlüssel, die keinen physischen Dateien entsprechen, volatil (HARDWARE-Hives):
Wurzelschlüssel | Abkür-zung | Funktion |
HKEY_CURRENT_CONFIG = HKLM\System\Current ControlSet\Hardware Profiles\Current | HKCC | Hardware-Informationen. Werden bei jedem Booten neu erzeugt und daher nicht physisch in eine Registry-Datei geschrieben. |
HKEY_DYN_DATA(nur Win95, Win98 und Win ME) | Hardware-Geräte und Statistiken über die Netzwerkleistung |
Download der kompletten zusätzlichen Informationen in einem Dokument.
1 thought on “mehr Infos zu Windows-Registry-Forensik”