Registry

Registry Allgemein

Die Registry ist eine Datenbank, die von Windows-Betriebssytemen genutzt wird, um Konfigurationsdaten des Systems oder einzelner Benutzer zu speichern. Die Registry besteht aus mehreren Bäumen („Hives“), wovon einige pro System eindeutig sind, andere pro Benutzer vorhanden sind. Die Registry ist in einer Baum-, bzw. Ordner-Struktur und als Key-Value Speicher konzipiert. Der Key gibt eine „Adresse“ innerhalb der Registry an, der Value den dazugehörigen Wert. Dargestellt werden diese Adressen über die Windows-typtischen Pfade, allerdings ohne die führenden Laufwerksbuchstaben.
Da die Registry Aufschluss über den Konfigurationszustand eines Systems gibt, liefern sie im Falle einer forensischen Untersuchung wertvolle Hinweise, die den Systemzustand des Untersuchungsgegenstands für den Analysten nachvollziehbar machen.

IT-Forensik auswertbarkeit

Die Registry-Datenbank befindet sich im User-Directory des jeweiligen Users (Bspw. C:\users\mustermann\ntuser.dat) und kann natürlich ausgewertet werden ohne sich als "der User" am System anmelden zu müssen. Dies ist vor allen Dingen dann wichtig wenn keine Änderungen am System vorgenommen werden sollen.

Aus einem System-Image bspw. lässt sich mittels Sleuthkit die NTUSER.dat extrahieren und anschließend auf jedem Windows-PC einlesen. Hierfür sind folgende Schritte zu tun:

  1. NTUSER.dat des jeweiligen Benutzers auf das Windows-Zielsystem kopieren/extrahieren
  2. Regedit.exe auf dem Zielsystem starten
  3. den Baum "HKEY_USERS" selektieren
  4. "Datei" => "Struktur laden" => [DATEI auswählen]

Fertig.

Wichtig: Niemals direkt die Datei aus dem Benutzerordner verwenden und vergessen die Struktur wieder "zu entladen". Die NTUSER.dat kann nicht parallel zusammen mit anderen Benutzern verwendet werden!