Windows als Fundgrube für Ermittler
iX über IT-Forensik

Hannover, 20. Dezember 2010 - In der Registry, dem Herzen eines Windows-Systems, finden sich nicht nur Systemeinstellungen, sondern auch Gebrauchsspuren. Angezapft mit geeigneten Werkzeugen sind diese eine unschätzbare Quelle für computerforensische Analysen. Das schreibt das IT-Profimagazin iX in seiner aktuellen Ausgabe 1/2011.

Windows nutzt eine Registrierungsdatenbank (Registry) als zentralen Speicher für vielerlei Systeminformationen. Aber auch hier werden Nutzeraktivitäten gespeichert. Diesen Informationsreichtum unterschätzen Windows-Anwender oft. Da viele Einträge mit Zeitstempeln versehen sind, können Ermittler die Registry wie ein Logbuch als Abfolge von Ereignissen interpretieren und anderen Datenspuren des Systems gegenüberstellen. Für Forensiker ist diese Datenbank eine Goldmine zum Analysieren eines Windows-Systems, um einen eventuellen Missbrauch feststellen zu können.

So lassen sich aus der Registry Hinweise auf das Wissen eines Verdächtigen gewinnen, auf Informationsabflüsse, Manipulationen des Systems, installierte Software, Kennungen und Kennwörter der Anwender oder darauf, was ein Nutzer zuletzt getan hat (most recently used, MRU).

Auch Suchanfragen der Anwender im lokalen System sowie bei Internet-Suchmaschinen, Website-Besuche und dortige Formulareingaben, können ermittelt werden. Die Auswertung der Registry zeigt auch welche mobile Medien - etwa USB-Sticks oder Digitalkameras - mit dem Rechner zu welchem Zeitpunkt verbunden waren. Bei Laptops gibt die Liste der jemals verbundenen WLANs sogar Hinweise auf ein Bewegungsprofil.

Zum Filtern, Vorsortieren und übersichtlichen Darstellen der Informationsfülle stehen Ermittlern diverse freie und kommerzielle Werkzeuge zur Verfügung. "Im Grunde ist es erschreckend, wie viele Informationen Windows über die Anwender speichert - ohne deren Wissen und Zutun", sagt iX-Redakteur Bert Ungerer.