Ik heb een Nederlandse vertaling van het programma RegistryReport van Werner Rumpeltesz gemaakt. Je kunt het programma nu via de site van Werner downloaden. In mijn eerdere posting kun je meer lezen over de mogelijkheden van RegistryReport.
De nieuwste editie van RegRipper (2.0A basic) kan worden gedownloadt via deze pagina. Deze eenvoudige, doch zeer doeltreffende tool van Harlan Carvey (CISSP) is in staat om de inhoud van een gekopieerd NTUSER.dat bestand om te zetten in een zeer uitgebreid en leesbaar rapport.
Ik kwam op het internet een uiteenzetting tegen hoe je het Windows register kunt analyseren. Het artikel kan een leidraad zijn tijdens onderzoek van het register.
Werner Rumpeltesz heeft een uitstekende registry viewer uitgebracht. De registry viewer brengt de complete inhoud van (offline) register hyves in beeld. Ik heb zelf een test gedaan door ntuser.dat van mijn werkende PC met FTK Imager te kopieren en deze vervolgens met RegistryViewer te openen. Een completere register viewer (die ook nog eens gratis is) heb ik nog niet gevonden.
Als je de volgende hive key bekijkt in het Windows register:
HKLM > SYSTEM > CurrentControlSet > Enum
dan zie je het overzicht van apparaten die met de computer verbonden zijn danwel verbonden zijn geweest. De apparaten zijn onderverdeeld in categorieen als DISPLAY, DOT4, PCI, USB etc. en elk apparaat vormt een subsleutel in het Windows register.
Zo zie je bijvoorbeeld staan in de categorie PCI:
VEN_10DE&DEV_0392&SUBSYS_822A104&REV_A1
Zo op het eerste gezicht is dan niet meteen duidelijk welk apparaat wordt bedoeld. Er is gelukkig wel een handige opbouw van deze subsleutel, te weten:
VEN_10DE betekent Vendor = 10DE
DEV_0392 betekent Device = 0392
Met andere woorden, als je deze subsleutel bekijkt, dan kun je al vaststellen dat dit apparaat 0392 van fabrikant 10DE betreft.
Deze gegevens kun je via handige databases vertalen naar merk en type.
Lees meer "Een registersleutel vertalen naar een apparaat" »
Als je wilt weten of een bepaalde USB stick in een bepaalde computer heeft gezeten (je bent bijvoorbeeld aan het kijken of er misbruik heeft plaatsgevonden), dan moet je eerst het unieke serienummer van de USB stick te weten komen (aangenomen dat de fabrikant elke USB stick een uniek serienummer geeft :-).
Alle goede onderzoekjes worden dusdanig uitgevoerd dat er geen gegevens naar de USB stick zelf geschreven kunnen worden. We moeten dus gebruik maken van een writeblocker. Wat is de meest simpele en goedkope writeblocker: Knoppix. Als je Knoppix via een Live CD gebruikt, dan weet je meteen zeker dat je gebruik maakt van een schone werkomgeving waar geen eerdere (en wellicht verwarrende) vermeldingen van USB sticks in staan.
Ik moest een "Powerpoint" presentatie maken over het register van Windows. Het leek me een goede gelegenheid om de nieuwe presentatie - mogelijkheid van Google Apps uit te proberen. Ik moet zeggen dat het me wel beviel om met deze Powerpoint look-a-like te werken (ik kan er ook aan verder werken, waar ter wereld ik ook ben). Hoe je een (gratis) abonnement neemt op Google Apps lees je hier.
Bekijk de on-line presentatie over het Windows register
Naar aanleiding van mijn vorige posting over het Windows register heb ik een aantal handige register tweaks bij elkaar gezocht ...
*** nieuw (11-10-2007): online presentatie over het Windows register ***
De instellingen van Windows zijn opgeslagen in het register (registry). Het register van Windows is erg machtig. Als je een verandering aanbrengt in bijvoorbeeld Word, dan wordt die verandering meteen in het register vastgelegd in de vorm van een registersleutel. Hoe zit het register nu eigenlijk in elkaar ?
