Windows als Fundgrube für Ermittler
In der Registry, dem Herzen eines Windows-Systems, finden sich nicht nur Systemeinstellungen, sondern auch Gebrauchsspuren. Angezapft mit geeigneten Werkzeugen sind diese eine unschätzbare Quelle für computerforensische Analysen.
- Bert Ungerer
Windows nutzt eine Registrierungsdatenbank (Registry) als zentralen Speicher für vielerlei Systeminformationen. Aber hier finden sich auch Spuren der Nutzeraktivität, deren Informationsreichtum Windows-Anwender oft unterschätzen. Im Grunde ist es erschreckend, wie viele Informationen Windows über sie speichert – ohne deren Wissen und Zutun. Für IT-Forensiker ist die Registry jedoch eine regelrechte Goldmine zum Analysieren eines Windows-Systems, das eventuell für strafbare Handlungen missbraucht wurde. Da viele Einträge mit Zeitstempeln versehen sind, können Ermittler die Registry wie ein Logbuch als Abfolge von Ereignissen interpretieren und anderen Datenspuren des Systems gegenüberstellen.
So lassen sich aus der Registry Hinweise auf das Wissen eines Verdächtigen gewinnen, auf Informationsabflüsse, Manipulationen des Systems, installierte Software, Login-Namen und Kennwörter der Anwender, Suchanfragen im lokalen System sowie bei Internet-Suchmaschinen, auf Website-Besuche und dortige Formulareingaben. Die Auswertung der Registry zeigt darüber hinaus, welche mobilen Medien – etwa USB-Sticks oder Digitalkameras – mit dem Rechner zu welchem Zeitpunkt verbunden waren. Bei Laptops gibt die Liste der jemals genutzten WLANs sogar Hinweise auf ein Bewegungsprofil.
Zum Filtern, Vorsortieren und übersichtlichen Darstellen der Informationsfülle stehen Ermittlern diverse freie und kommerzielle Werkzeuge zur Verfügung. Einen Überblick gibt die iX in ihrer Januar-Ausgabe, die am 23. Dezember 2010 erscheint. Sie ist außer im Zeitschriftenhandel auch im Online-Kiosk erhältlich. (un)