Beim suchen nach Spuren woher mein einziger Windows Rechner Junk/Grabage Files eingefangen hat, bin ich auf sehr unschöne Sachen gestoßen. Man muss kein CSI Agent oder Chloe O'Bryan sein um die Geheimnisse von Windows auf Tageslicht zu bringen. In der Registry findet man z.B. alle Programmnamen die seit der Installation am PC durchgeführt wurden und wie oft auch, Windows kennt die beliebtesten Dokumente der User und speichert Infos von allen USB-Geräten (USB-Sticks/MemCards) die je am PC angeschlossen wurden.
Wenn meine Mutter wüsste, dass z.B.: + die meist geöffnete (most recent used-MRU) Dateinamen, trotz löschen vom Start Menü des entspr. Folders, fröhlich im C:\Documents and Settings\(Benutzername)\Recent weiter die Daten sammelt und das ganze für alle Fälle im Registry auch mitgeloggt wird (zu finden unter HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs). + die aus open/save Dialogen meist geöffnete/gesicherte Dateinamen unter HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU geloggt werden und für die letzten 10 sogar der physische Pfad ersichtlich ist. + unter dem Schlüssel HKey_Current_User\Software\Microsoft\windows\CurrentVersion\Explorer\UserAssist\(GUID)\Count eine monströse Liste zu finden ist, die uns verrät welche Programme, wie oft und letztes mal wann Aufgerufen wurden seit der Installation von Windows. Im Feld UserAssist ist die Benutzerkennung gespeichert um die Suche zu verienfachen. Programmnamen sind zwar verschlüsselt, aber eine ROT-13 Dekoder-Software oder textop.us <http://textop.us/Encryption/Rot13> hilft einfach zum echten Programmnamen zu kommen. + mit ein wenig mehr Arbeit können alle seit der Installation angeschlossene USB Driver aufgelistet werden. Es beginnt im Registry mit HKey_Local_Machine\SYSTEM\CurrentControlSet\Enum\USBSTOR, wobei um die komplette Liste zu Produzieren muss man ein wenig weiter suchen. + trotz allen Bemühungen spuren von besuchten URLs im IE zu eliminieren, unter HKey_Current_User\Software\Microsoft\Internet Explorer\TypedURLs\ ist alles da. Hier sind Chrome und Firefox weit "Benutzerfreundlicher", weil sie diese Infos in eigenen Datenbanken speichern. Firefox tut es unter C:\Documents and Settings\(UserID)\Application Data\Mozilla\Firefox\Profiles\(Profile)\ . Die .sqlite Dateien können sehr schnell "zum Reden" gebracht werden. Wer richtige Reports braucht, soll die Seite firefoxforensics.com <http://www.firefoxforensics.com/> besuchen und den kostenlosen Firefox 3 Extractor benutzen. Dieser sagt sogar ob der User die URL eingetippt hat oder sonstwie zu der Seite kam. Das ganze klingt abenteuerlich und ist sehr bedenklich. Diese Daten können jederzeit ausgelesen werden und bei einer Internet Verbindung unkontrolliert wohin auch immer gesendet werden. Die persönliche Firewalls helfen hier wenig, da die meisten auf deny/any als Default-Regel eingestellt sind. Wem das ganze nicht gefällt hat drei Optionen: 1. zu Fuß auf eine virtuelle Anti-Datensammelreise zu gehen und die Registry/System Ordner putzen. Empfehlenswert nur für Profis, die damit auch ihr Geld verdienen und wissen was ein Backup manchmal wert ist. Hilfestellung findet man bei forensicfocus.com <http://www.forensicfocus.com/index.php?name=Content&pid=73>. 2. Cleanup Utilities verwenden. Ein guter vergleich der gängigsten Tools findet man auf der Download Squad <http://www.downloadsquad.com/2009/06/09/6-great-free-cleanup-utilities-for-windows/> Seite. 3. Man verzichtet auf Windows wo es nur geht und verwendet den Pinguin oder andere OS. Andras
