Lernen Sie, wie Sie eine forensische Workstation einrichten, um die Windows-Registrierung ordnungsgemäß zu untersuchen. Dieses Modul befasst sich mit dem Speicherort der Registrierungsdateien innerhalb des Windows-Betriebssystems und den vielen frei verfügbaren Tools, mit denen Sie die Dateistruktur und die in der Windows-Registrierung enthaltenen Artefakte anzeigen können. Es enthält Anleitungen zur Installation, zur korrekten Verwendung und zur Validierung Ihrer forensischen Software und zeigt Ihnen, wie Sie das Beste aus Ihren automatisierten Tools herausholen und gleichzeitig verstehen, was das Tool hinter den Kulissen tut.

Dieses Modul demonstriert eine eingehende Analyse der Artefakte, die in der Hive-Datei NTUser.Dat enthalten sind. Dieses Modul zeigt dem Prüfer, wie er Programme und Anwendungen, gemountete Volumes und angeschlossene Geräte speziell für einen Benutzer, Suchbegriffe des Benutzers und eingegebene URLs findet. Die Prüfer werden auch in der Lage sein, geöffnete und gespeicherte Dateien, eingegebene URLs, benutzerspezifische Programme, die beim Start ausgeführt werden sollen, sowie die Installation und Ausführung von Anwendungen zu finden und zu identifizieren. Sie sind in der Lage, MRU-Listen (Most Recently Used), UserAssist, Systemeinstellungen des Benutzers und zuletzt verwendete Dateien zu lokalisieren, zu untersuchen und zu interpretieren.

Dieses Modul erklärt forensische Artefakte, die in der SAM-Datei (Security Account Manager) zu finden sind, in der Informationen über jeden Benutzer auf einem System gespeichert und organisiert werden. In diesem Modul wird gezeigt, wie Sie jedes Benutzerkonto auf einem lokalen Rechner anhand der relativen Kennung identifizieren können. Die Prüfer können auch lernen, die Informationen über den Benutzernamen zu interpretieren, einschließlich der Anmeldedaten, -zeiten und der Anzahl der Anmeldungen. Das Modul zeigt, wie Sie den Rechner identifizieren, auf dem das Benutzerkonto erstellt wurde, indem Sie die SIDs (Rechner-/Domänenbezeichner) eines Benutzers interpretieren und die Hashes der Benutzerkennwörter wiederherstellen.

In diesem Modul erfahren die Prüfer, wie sie forensisch wertvolle Informationen über die Ausführung und Installation von Anwendungen in der Software-Hive-Datei finden. Das Modul bietet einen Überblick über die forensischen Artefakte, die in der Software-Hive-Datei gefunden werden, z. B. installierte Programme und Anwendungen, Betriebssystemtyp, Installationsdatum und -zeit, drahtlose Netzwerkinformationen, Dateizuordnung, Domänenanmeldeinformationen, der zuletzt angemeldete Benutzer, Programme, die beim Start ausgeführt werden sollen, und die Verfolgung von USB-Geräten, die an das System angeschlossen waren.

In diesem Modul werden Beweise für den forensischen Wert der System-Hive-Datei demonstriert. Dieses Modul untersucht die System-Hive-Datei und zeigt, wie Sie den aktuellen Kontrollsatz, den Computernamen, das Datum und die Uhrzeit des letzten Herunterfahrens, die Crash Dump-Einstellungen und den Speicherort, die Dienste, die beim Start ausgeführt werden sollen, die Auslagerungsdateieinstellungen, die Prefetch-Einstellungen, die Zeiteinstellungen für den letzten Dateizugriff, den AppCompat Cache, den BAM (Monitor für Hintergrundaktivitäten) und die Verbindungen und Trennungen von USB-Geräten mit Datum und Uhrzeit ermitteln.

Dieses Modul identifiziert und erklärt forensische Artefakte, die in der Hive-Datei UsrClass.dat gefunden werden. Dieses Modul befasst sich mit der Hive-Datei UsrClass.dat. Der Prüfer wird lernen, die Windows ShellBags zu erklären, die benutzerspezifische Zip-Dateien und Ordnerzugriffe und -einstellungen, einschließlich Datum und Uhrzeit, selbst auf gelöschten Ordnern und Wechselmedien, aufzeichnen. Der Prüfer wird auch lernen, den Unterschlüssel MuiCache zu interpretieren, um installierte Anwendungen einzubeziehen. Die Microsoft Photo App, die die zuletzt aufgerufenen Bilddateien anzeigt, wird ebenfalls erkundet.

In diesem Modul wird die AmCache Hive-Datei untersucht, in der Informationen über die Ausführung von Anwendungen gespeichert sind. Eine forensische Untersuchung der AmCache Hive-Datei zeigt Folgendes: Installation der Anwendung, Datum und Uhrzeit der ersten Ausführung der Anwendung, einen Dateipfad zur ausführbaren Datei, die Quelle der Anwendung, einen SHA-1-Hash-Wert der ausführbaren Datei, angeschlossene Plug-and-Play-Geräte, GUIDs von gemounteten Volumes und Informationen zur Systemhardware.