Registry

Die Registry ist eine Datenbank, die von Windows-Betriebssytemen genutzt wird, um Konfigurationsdaten des Systems oder einzelner Benutzer zu speicherm. Die Registry besteht aus mehreren Bäumen („Hives“), wovon einige pro System eindeutig sind, andere pro Benutzer vorhanden sind. Die Registry ist in einer Baum-, bzw. Ordner-Struktur und als Key-Value Speicher konzipiert. Der Key gibt eine „Adresse“ innerhalb der Registry an, der Value den dazugehörigen Wert. Dargestellt werden diese Adressen über die Windows-typtischen Pfade, allerdings ohne die führenden Laufwerksbuchstaben.
Da die Registry Aufschluss über den Konfigurationszustand eines Systems gibt, liefern sie im Falle einer forensischen Untersuchung wertvolle Hinweise, die den Systemzustand des Untersuchungsgegenstands für den Analysten nachvollziehbar machen.