Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Registry einer externen Festplatte auslesen...

Frage Sicherheit

Mitglied: Forensikfreek

Forensikfreek (Level 1) - Jetzt verbinden

07.09.2007, aktualisiert 08.09.2007, 40187 Aufrufe, 5 Kommentare

Wo sit die Datenbank versteckt?

Hallo,

wieder einmal wende ich mich mit einem Problem an euch und würde mich freuen, wenn ich wieder
einen tollen Tipp - wie das letzte mal - bekommen würde!

Folgendes:

Ich untersuche gerade Festplatten auf USB einträge.
Ich habe das ganze jetzt eine Zeit lang am betroffenen PC selber gemacht, musste dabei aber einen Stick anstecken.
Natürlich hinterlässt dieser ebenfalls seine Spuren.

Um das nun zu verhindern, möchte ich die Festplatten extern anschließen und über meinen Rechner die
Registry der ext. festplatte auslesen.
Nur hier ist mein Problem, wie finde ich die Reg, der ext. Platte?

Vielen Dank jetzt schon für eure Hilfe!
Mitglied: rc-computer
07.09.2007 um 09:50 Uhr
Hi Forensikfreek,

die Dateien fuer die Registry befinden sich unter %SystemRoot%\system32\config\

Brauchst du noch ein Programm um diese zu durchforsten?

Mit freundlichen Gruessen
- Johannes Matjeschk
Bitte warten ..
Mitglied: Takrael
07.09.2007 um 10:43 Uhr
Morgen,

was gibts denn noch für tools um die Registry Remote zu bearbeiten?

ich begnüge mich momentan noch mit "REG " ab, ist doch im Systemdabei bzw. in den Support Tools /ResKits ?

Bin aber für komfortable alternativen dankbar

Gruß
Bitte warten ..
Mitglied: Forensikfreek
07.09.2007 um 11:43 Uhr
Vielen Dank für die rasche Info!
Bitte warten ..
Mitglied: rc-computer
07.09.2007 um 12:17 Uhr
Hallo Takrael,

ich haette da noch ein Programm von UBCD4WIN vorgeschlagen.

Mit freundlichen Gruessen
- Johannes Matjeschk
Bitte warten ..
Mitglied: gnarff
08.09.2007 um 17:48 Uhr
Hallo Forensiketc.!

Hier ein Grundsatzpapier zur Forensischen Analyse der
Registrierdatenbank, mit dem Titel
Forensic Analysis of the Windows Registry

Gute Tools dazu und weitere Whitepapers zum Thema gibt es dort:
Registry Forensics Software

Zur Registrierdatenbank gehören folgende Dateien unter dem Pfad Windows/system32:
reg.exe Registry Console Tool
regapi.dll Application Extension [Programminterface]
regedt32 Registrierdatenbank Editor
regini Registry Initializer
regscv.dll Application Extension
regsrv32.exe Register Server
regtrace.exe Überwachungsanwendung der Registrierdatenbank. Hier können Events in der Registrierdatenbank protokolliert und in einem Logfile [Format: *.atf] ausgegeben werden/

regwiz.exe Registrierdatenbank Wizard
regwizc.dll Application Extension

Ansonsten empfehle ich Dir die Whitepapers aufmerksam zu lesen.

Zitat: Forensiketc.:
"Ich habe das ganze jetzt eine Zeit lang am betroffenen PC selber gemacht, musste dabei aber einen Stick anstecken.
Natürlich hinterlässt dieser ebenfalls seine Spuren. Um das nun zu verhindern,
[...]"

Wenn Du mir hier den Eindruck machst, dass Du per remote und oder uneingeladen auf fremde Registrierdatenbanken zugreifen willst, mache ich den Thread nicht nur zu, sondern loesche ihn auch...

saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Off Topic

"Ich habe nichts zu verbergen"

(2)

Erfahrungsbericht von FA-jka zum Thema Off Topic ...

Ähnliche Inhalte
Festplatten, SSD, Raid
Alte Festplatte auslesen (4)

Frage von Codehunter zum Thema Festplatten, SSD, Raid ...

Batch & Shell
gelöst Batch: Textdatei Zeilenweise auslesen (2)

Frage von CreatorX zum Thema Batch & Shell ...

Batch & Shell
gelöst Fenstertitel von anderen Tasks per batch auslesen (3)

Frage von NetMare zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Linux Netzwerk
gelöst DHCP vergibt keine Adressen (32)

Frage von Maik82 zum Thema Linux Netzwerk ...

Apache Server
gelöst Lets Encrypt SSL mit Apache2 (20)

Frage von banane31 zum Thema Apache Server ...

CPU, RAM, Mainboards
Kaufberatung für mind. 8 verschiedene HighEnd-Mainboards (20)

Frage von yperiu zum Thema CPU, RAM, Mainboards ...

Hardware
gelöst PCI-Express-Adapterfrage (14)

Frage von DerWoWusste zum Thema Hardware ...