In Ergänzung zu hier und hier nun noch ein Hinweis zu neuen Registry-Forensik-Funktionen von X-Ways Forensics 15.9, welches kurz nach unserem Artikel veröffentlicht wurde:
- Der vom Registry-Viewer aus erreichbare Windows-Registry-Bericht ist verbessert und informativer. Jetzt können auch ausgewählte Teile des Schlüsselpfades zusätzlich zu den Werten ausgegeben werden.
- Die Registry-Berichte werden schneller erstellt
- Der Registry-Bericht extrahiert mehr Informationen aus Windows 7:
- Volume-Shadow-Copies (VSC)
- Legacy-Programme
- MAC-Adresse des Default-Gateways
- Die Datei zur Definition von Registry-Berichten wurde in folgende acht Teile modularisiert
Reg Report <Name>.txt:
1. Devices
2. Histories
3. Identity
4. Mounted Devices
5. Networks
6. Printer
7. Software
8. System
Somit ist es leichter, flexibel auszuwerten und interessierende Angaben zu ändern. Weil zusammengehörige Themen nebeneinanderstehen, ist dies auch ein weiterer Schritt in Richtung Korrelation von Registry-Einträgen.