Kostenlose Kurzreferenz für die Windows-Registry

| 2 Kommentare

Access Data stellt kostenlos eine Kurzübersicht der Windows Registry zur Verfügung.

Auf 16 Seiten hat Access Data zahlreiche Positionen in der Registry zusammengestellt und dabei nach Kategorien sortiert. Fast fünf Seiten entfallen dabei allein auf diverse Instant Messaging Clients. Zumindest meiner Arbeitswirklichkeit entspricht diese Gewichtung nicht, aber das mag je nach Kundenkreis und Fragestellung variieren.

Bisweilen sind die Informationen erstaunlich detailliert. Der Abschnitt User Data geht auf Seite 11 zum Beispiel auf die Bedeutung einzelner Bytes in der Datenbank des Security Account Managers (SAM) ein.

Deutlich zu kurz gekommen ist mir jedoch der Eintrag Startup Software. Hier empfehle ich als Ergänzung die Liste der Lauch Points der Silent Runners. Bei der Überprüfung von Arbeitsplatzsystemen sehe ich mir routinemäßig auch die auf der gleichen Seite genannten Hijack Points an. Ein Angreifer kann hier durch entsprechende Einstellungen das Systemverhalten entscheidend verändern. Als Beispiel denke man nur an eine alternative hosts-Datei, die für die Updateserver aller gängigen Virenscanner die IP-Adresse 127.0.0.1 (localhost) nennt. Durch Änderung des entsprechenden Wertes in der Registry wird dann diese Datei aktiv, das wohlbekannte Original in %system%\drivers\etc bleibt unangetastet (und ist fortan wirkungslos).

Detaillierte Informationen gibt es natürlich auch in den Windows Resource Kits. Microsoft stellt die Referenzen für Windows 2000 und Windows Server 2003 online bereit.

2 Kommentare

Der Link zur Kurzübersicht ist tot (404).

Alexej, danke für Deinen Hinweis. Zum Glück hat Access Data die Datei nur umbenannt. Ich habe den Link im Eintrag entsprechend aktualisiert.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12