Beim suchen nach Spuren woher mein einziger Windows Rechner Junk/Grabage
Files eingefangen hat, bin ich auf sehr unschöne Sachen gestoßen. Man
muss kein CSI Agent oder Chloe O'Bryan sein um die Geheimnisse von
Windows auf Tageslicht zu bringen. In der Registry findet man z.B. alle
Programmnamen die seit der Installation am PC durchgeführt wurden und
wie oft auch, Windows kennt die beliebtesten Dokumente der User und
speichert Infos von allen USB-Geräten (USB-Sticks/MemCards) die je am PC
angeschlossen wurden.

Wenn meine Mutter wüsste, dass z.B.:

+ die meist geöffnete (most recent used-MRU) Dateinamen, trotz löschen
vom Start Menü des entspr. Folders, fröhlich im C:\Documents and
Settings\(Benutzername)\Recent weiter die Daten sammelt und das ganze
für alle Fälle im Registry auch mitgeloggt wird (zu finden unter
HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs).

+ die aus open/save Dialogen meist geöffnete/gesicherte Dateinamen unter
HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
geloggt werden und für die letzten 10 sogar der physische Pfad
ersichtlich ist.

+ unter dem Schlüssel
HKey_Current_User\Software\Microsoft\windows\CurrentVersion\Explorer\UserAssist\(GUID)\Count

eine monströse Liste zu finden ist, die uns verrät welche Programme, wie
oft und letztes mal wann Aufgerufen wurden seit der Installation von
Windows. Im Feld UserAssist ist die Benutzerkennung gespeichert um die
Suche zu verienfachen. Programmnamen sind zwar verschlüsselt, aber eine
ROT-13 Dekoder-Software oder textop.us
<http://textop.us/Encryption/Rot13> hilft einfach zum echten
Programmnamen zu kommen.

+ mit ein wenig mehr Arbeit können alle seit der Installation
angeschlossene USB Driver aufgelistet werden. Es beginnt im Registry mit
HKey_Local_Machine\SYSTEM\CurrentControlSet\Enum\USBSTOR, wobei um die
komplette Liste zu Produzieren muss man ein wenig weiter suchen.

+ trotz allen Bemühungen spuren von besuchten URLs im IE zu eliminieren,
unter HKey_Current_User\Software\Microsoft\Internet Explorer\TypedURLs\
ist alles da. Hier sind Chrome und Firefox weit "Benutzerfreundlicher",
weil sie diese Infos in eigenen Datenbanken speichern. Firefox tut es
unter C:\Documents and Settings\(UserID)\Application
Data\Mozilla\Firefox\Profiles\(Profile)\ . Die .sqlite Dateien können
sehr schnell "zum Reden" gebracht werden. Wer richtige Reports braucht,
soll die Seite firefoxforensics.com <http://www.firefoxforensics.com/>
besuchen und den kostenlosen Firefox 3 Extractor benutzen. Dieser sagt
sogar ob der User die URL eingetippt hat oder sonstwie zu der Seite kam.

Das ganze klingt abenteuerlich und ist sehr bedenklich. Diese Daten
können jederzeit ausgelesen werden und bei einer Internet Verbindung
unkontrolliert wohin auch immer gesendet werden. Die persönliche
Firewalls helfen hier wenig, da die meisten auf deny/any als
Default-Regel eingestellt sind.

Wem das ganze nicht gefällt hat drei Optionen:

1. zu Fuß auf eine virtuelle Anti-Datensammelreise zu gehen und die
Registry/System Ordner putzen. Empfehlenswert nur für Profis, die damit
auch ihr Geld verdienen und wissen was ein Backup manchmal wert ist.
Hilfestellung findet man bei forensicfocus.com
<http://www.forensicfocus.com/index.php?name=Content&pid=73>.

2. Cleanup Utilities verwenden. Ein guter vergleich der gängigsten Tools
findet man auf der Download Squad
<http://www.downloadsquad.com/2009/06/09/6-great-free-cleanup-utilities-for-windows/>
Seite.

3. Man verzichtet auf Windows wo es nur geht und verwendet den Pinguin
oder andere OS.

Andras

Antwort per Email an