December 02, 2007

Windows restore points bekijken

Een van de mogelijkheden om informatie uit Windows restore points te bekijken:

Gebruik FTK Imager om de inhoud te kopieren van
c:\System Volume Information\_restore*

(als het goed is bestaat de inhoud van die map uit een of meerdere mappen waarvan de naam begint met RP, of je deze data nu haalt uit een live systeem of uit een image van een harddisk, dat maakt voor de onderzoeksprocedure verder niet uit)

Download het gratis MiTeC Registry Viewer.

Als je de inhoud bekijkt van een "RP map" die je zojuist met FTK Imager hebt gekopieerd, dan zie je dat daarin de submap Snapshot staat. De inhoud van Snapshot is erg interessant. Het zijn namelijk exacte kopieen van de registry hives, zoals ze bestonden op het moment van het maken van de snapshot.

Je ziet onder meer de volgende bestanden staan:

_REGISTRY_MACHINE_SAM
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_USER_.DEFAULT
_REGISTRY_USER_NTUSER_S-1-5-19
_REGISTRY_USER_NTUSER_S-1-5-21-***-1003
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SYSTEM
etc.

Elk bestand uit deze serie kan met MiTeC Registry Viewer worden bekeken:

Mitecregistryviewer

Zo kun je veel te weten komen over hard- en software en gebruikersaccounts op het moment van het maken van de snapshot. Wat dit betreft is alles nagenoeg het hetzelfde zoals ik heb vermeld onder Windows register.

Changelog onderzoeken

Naast het onderzoeken van de register hyves kun je ook het changelog onderzoeken. Het is hiervoor het meest handig om FTK (Forensic Toolkit van Accessdata) te gebruiken. Zoals wellicht bekend is FTK gratis, zolang het aantal te onderzoeken bestanden niet groter is dan 5000. In dit geval (restore points onderzoek) zal het aantal bestanden minder zijn dan 5000 en kan FTK goed worden toegepast. FTK kun je hier downloaden.

Na de installatie van FTK maak je een nieuwe case aan, waarin je aangeeft dat je de inhoud van een folder wilt onderzoeken. Het is het meest slim om eerst alle change.log. bestanden uit c:\System Volume Information\_restore* met FTK Imager te exporteren naar een aparte map, en vervolgens de inhoud van die map met FTK te onderzoeken.

Ftkrestorepointschangelog

Als je alle change.log. bestanden hebt ingeladen in FTK, dan kun je klikken op Cr Date

Ftkrestorepointscrdate

Het gevolg daarvan is dat alle changelogs in volgorde van tijd en datum worden gerangschikt. Je kunt daar vervolgens doorheen lopen met de pijltjestoets, terwijl in het bovenste scherm in FTK de inhoud van de logbestanden getoond wordt. Zo kun je zien welke bestandswijzigingen zijn gelogd ten tijde van het maken van de het restorepoint.

Srdiag.exe

Tenslotte is het nog het vermelden waard dat je gebruik kunt maken van de optie srdiag.exe van Windows XP. Een goede beschrijving van die mogelijkheid vind je hier.

Dec 2, 2007 2:17:27 PM | Web/Technologie

The comments to this entry are closed.

NEXT POST
OSI model voor dummies Als je in de IT werkzaam bent dan hoor je met enige regelmaat dat er gesproken wordt over het OSI model. Hoe kun je nu onthouden uit welke lagen dit model bestaat, simpel, met het ezelsbruggetje: Australian Post Sucks They...
PREVIOUS POST
libewf installeren onder Ubuntu Als je libewf onder Ubuntu wilt installeren, dan is dat het meest eenvoudig via een .deb archief. Je vindt het meest recente .deb archief hier. Het is niet de meest recente uitgave van libewf (deze is helaas alleen in tar.gz...

Mark

The Typepad Team

Search

My Other Accounts

Recent Comments