Verlauflisten&Digitale Fusspuren

Dieses Thema im Forum "Windows Tutorials" wurde erstellt von HiddenSurfface, 22. September 2007 .

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 22. September 2007
    Hi Rushers

    Dieses Dokument enthält eine kleine Zusammenstellung diverser Daten, die man bei der täglichen Arbeit mit dem Computer hinterlässt. Über manche Daten weiß man Bescheid, andere werden automatisch erstellt, ohne dass der Benutzer etwas davon merkt.

    Ich habe mir mal die Mühe gemacht die häufigst benutzten Programme&Tools näher zur erläutern

    Inhalt
    Webbrowser
    History /Verlauf
    Cookies
    Cache
    Automatische Vervollständigung
    Eingegebene Adressen
    Sonstiges
    Sonstige Internetprogramme
    E-Mailclients
    KaZaA & Co.
    Download-Manager
    Temporäre Daten
    Temporäre Dateien
    Windows-Auslagerungsdatei
    Ruhezustand
    Zuletzt verwendete Objekte
    Verwendete Dateien
    Ausgeführte Programme
    Geöffnete und gespeicherte Dateien
    Gesuchte Dateien, Dateiinhalte und Computer
    Verwendete Dateien im Windows Media Player
    Verwendete Microsoft Office-Dateien
    Sonstige Programme
    Sonstiges
    Office Metadaten
    Windows NT Data Streams
    Dateianhänge
    Steganografie

    "Verlauflisten bereinigungs Programme"
    A1-Ultra Pc-Cleaner
    Super-Utilities


    .

    Webbrowser

    Webbrowser speichern eine Vielzahl an Informationen, um das Surfen im Internet so einfach und schnell wie möglich zu machen. Das bedeutet aber auch, dass mitunter auch ungewollt sensible Informationen gespeichert werden.

    History / Verlauf

    In der History werden alle besuchten Adressen gespeichert. Sie stellen somit einen "Verlauf" der Surfaktivität dar.
    Die Microsoft Verlauf-Dateien - die sowohl der Explorer, als auch der Internet Explorer generiert, werden im Verlauf-Ordner mit dem Namen "index.dat" abgespeichert. Dabei ist die Datei im Verlauf-Verzeichnis selbst die aktuelle Übersicht. In Unterordnern sind weitere Dateien gespeichert, die ältere Daten beinhalten und jeweils für einen bestimmten Zeitbereich gelten (meist für eine Woche).
    Wie der Internet Explorer besitzen auch Mozilla-Browser eine "History". Dadurch lassen sich auch hier alle besuchten Seiten (chronologisch der Reihe nach) feststellen. Die History ist in der Datei "history.dat" in einem Unterverzeichnis von "profiles" gespeichert.
    Der Opera Browser speichert alle Webseitenzugriffe der Reihe nach in der Datei "global.dat", im Unterverzeichnis "profile".

    Cookies

    Als "Cookies" werden Informationen bezeichnet, die von diversen Webseiten auf dem lokalen Rechner abgelegt werden. Dies können Einstellungen, Zugriffs- oder Identifikationsnummern, oder auch Zähler sein.
    Der Internet Explorer speichert Cookies in Textdateien im Verzeichnis "Cookies" des jeweiligen Benutzerverzeichnisses.
    Die Mozilla-Browser speichern alle Cookies in der Datei "cookies.txt", die sich in einem Unterverzeichnis des "profiles"-Ordners befindet.
    Opera speichert die Cookies in einer Binärdatei im Verzeichnis "profile".

    Cache

    Jeder Webbrowser speichert (falls eingestellt) die heruntergeladenen Seiten und Bilder auf der Festplatte, um in Zukunft schneller darauf zugreifen zu können. Meist sind die Daten in einem Unterverzeichnis mit dem Namen "Cache" gespeichert. Der Internet Explorer legt diese Daten im Ordner "Temporäre Internetdateien" ab.

    Automatische Vervollständigung

    Beim Ausfüllen eines Formulars auf einer Webseite speichert der Webbrowser die Informationen, um diese beim nächsten Besuch dieser Seite automatisch in das Formular einzusetzen.
    Mozilla Browser speichern diese Daten in der Datei "formhistory.dat" ab. Logins und Passwörter werden verschlüsselt in die Datei "signons.txt" eingetragen.
    Opera speichert die Benutzernamen und Passwörter in der Datei "wand.dat", ebenfalls verschlüsselt.

    Eingegebene Adressen

    In einem Webbrowser wird die aktuelle URL in einer Combo-Box angezeigt, aus der die zuvor eingegebenen URLs aufgerufen werden können. Diese Adressen in dieser Liste wurden vom Benutzer selbst eingegeben.
    Der Internet Explorer speichert diese Adressen in der Registry, im Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ TypedURLs" ab.
    Der Opera Browser speichert diese Informationen in einer Textdatei namens "opera.dir" im Verzeichnis
    "profile".


    Sonstiges

    Manche Browser protokollieren auch Downloads mit oder führen zu den Favoriten auch das Datum und die Zeit des letzten Zugriffes an. Weiters können Browser-Plugins ebenfalls Daten mit sensiblen Informationen hinterlassen.

    Sonstige Internetprogramme

    E-Mailclients

    E-Mail Clients speichern oft nicht nur die eigentlichen Nachrichten, die empfangen oder versendet wurden, sondern auch weitere Informationen, wie etwas Outlook Express. In den Nachrichtendatenbanken ist unter anderem auch der Zeitpunkt der Speicherung einer Mail in einem lokalen Nachrichtenordner angeführt.
    Weiters speichern alle Mailclients die Zugangsdaten zu den einzelnen Mail- und News-Accounts ab. Diese Daten sind sehr sensibel, weshalb viele Programme diese Informationen verschlüsseln. Aber für praktisch jeden Client gibt es ein Programm, dass die Benutzerdaten auslesen kann.
    Wird eine Nachricht gelöscht, wird sie meist nur in einen anderen Ordner verschoben. Bei Outlook Express ist dies z.B. die Datei "Gelöschte Objekte.dbx". Weiters werden gelöschte Nachrichten nicht aus der Datenbank entfernt, sondern nur als "gelöscht" markiert. Dies bedeutet nichts anderes, als dass diese Bereiche mit neuen Nachrichten überschrieben werden können. Erst beim "Komprimieren" der Datenbanken werden diese Datenreste entfernt. Auch bei Outlook bleiben die Nachrichten nach dem Löschen einer Mail in der PST-Datei gespeichert.

    KaZaA & Co.

    Fast alle Filesharing-Programme, wie z.B. "KaZaA",(es soll noch Leute geben die das Tool benutzen) speichern detaillierte Informationen zu den heruntergeladenen oder angebotenen Dateien.
    KaZaA legt während des Downloads für jede herunterzuladende Datei eine temporäre Datei im Ordner "My Shared Folder" an. Die Namen dieser Dateien beginnen mit "download" und enden mit der Dateinamenerweiterung ".dat", also beispielsweise "download105606037939213245.dat". Am Ende dieser Datei speichert KaZaA den FastTrack Download Appendix, der aus Informationen zu dieser Datei und zu den Verbindungsdaten, die zum Download erforderlich sind, besteht. So sind nicht nur die Startzeit des Downloads, die Dateigröße und der (zukünftige) Name der Datei eingetragen, sondern auch die KaZaA-Benutzernamen und die IP-Adresse von demjenigen, von dem die Datei oder ein Teil der Datei herunter geladen wurde.
    KaZaA protokolliert ausführlich alle Dateien, die im "My Shared Folder" abgelegt sind. Damit sind alle heruntergeladenen, sowie alle zum Tausch angebotenen Dateien betroffen. Auch wenn eine heruntergeladene Datei umbenannt wird, entgeht sie KaZaA nicht und wird ebenfalls in das Verzeichnis aufgenommen. Diese Informationen werden im Unterverzeichnis "db" des Programmverzeichnisses gespeichert. Dabei verwendet KaZaA das "KaZaA FastTrack Local Shared Objects Meta Database File Format". KaZaA verwaltet die Informationen je nach Größe in 4 Datenbankdateien: "data256.dbb", "data1024.dbb", "data2048.dbb" und "data4096.dbb". In diesen Datenbanken sind nicht nur Informationen zur Datei enthalten, sondern auch der Zeitpunkt der letzten Änderung und ggf. der Zeitpunkt des letztmöglichen Austausches jeder einzelnen Datei.

    Download-Manager

    Auch Download-Manager protokollieren alle Downloads genau mit.
    Der Download-Manager GetRight speichert die Daten der (vollständigen) Downloads in der Datei "GetRight.hst". Neben Dateinamen, Datenursprung und Dateigröße werden auch der Zeitpunkt des Starts und des Endes von jedem Download festgehalten. Weiters wird die exakte Dauer des Downloads gespeichert.
    Der Download-Manager ReGet Deluxe speichert jeden Download in der Datei "history.hst". Neben dem Quellpfad und dem Zielverzeichnis sind auch die Größe der Datei und die Zeit der Beendigung des Downloads enthalten.

    Temporäre Daten
    Temporäre Dateien

    Temporäre Dateien sind Dateien, die von Programmen angelegt werden, um darin vorübergehend Informationen zu speichern. Jedes Programm sollte diese Dateien beim Beenden löschen, allerdings wird dies oft verabsäumt. Grundsätzlich findet man solche Dateien im Temporären Verzeichnis von Windows bzw. im Benutzerverzeichnis. Einige Programme, wie etwa Word, legen eine temporäre Datei in jenem Ordner an, in dem sich die zu bearbeitende Datei befindet.

    Windows-Auslagerungsdatei

    Die Auslagerungsdatei von Windows ("win386.swp" unter Windows 9x, bzw. "pagefile.sys" unter Windows NT/XP) wird als virtueller Speicher verwendet. Das bedeutet, dass darin unter Umständen auch unverschlüsselte Passwörter und sonstige sensible Daten abgelegt sein können.
    Ruhezustand
    In der Datei "hiberfil.sys" wird der Speicherinhalt geschrieben, wenn der Computer in den Ruhezustand wechselt, um den Speicherinhalt ggf. danach wieder herstellen zu können. Auch hier wird der Inhalt des Speichers direkt in die Datei geschrieben. Dadurch können in dieser Datei mitunter auch sensible Daten unverschlüsselt abgelegt sein.

    Zuletzt verwendete Objekte

    Verwendete Dateien

    Windows speichert die Liste der zuletzt verwendeten Dateien in der Registry unter dem Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ RecentDocs", sowie dessen Unterverzeichnisse.
    Weiters sind im Benutzerverzeichnis, im Unterordner "Recent", Links zu den zuletzt verwendeten Dateien gespeichert.
    Ausgeführte Programme
    Wenn über das Startmenü > "Ausführen..." ein Programm gestartet wird, speichert Windows die eingegebene Befehlszeile in der Registry ab. Diese Liste ist im Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ RunMRU" gespeichert.
    Geöffnete und gespeicherte Dateien
    Eine Liste der zuletzt geöffneten oder gespeicherten Dateien ist unter dem Registry-Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ComDlg32 \ OpenSaveMRU" abgelegt.
    Weiters wird eine Liste der zuletzt besuchten Dateien unter "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ComDlg32 \
    LastVisitedMRU" geführt.
    Gesuchte Dateien, Dateiinhalte und Computer
    Windows speichert auch die letzten Suchabfragen nach Dateinamen, Dateiinhalten oder Computernamen. Diese Informationen sind ebenfalls in der Registry gespeichert.
    Im Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ Search Assistant \ ACMru" befinden sich zwei Unterschlüssel. Im Unterschlüssel "5603" sind die zuletzt gesuchten Dateinamen und unter "5604" sind die zuletzt gesuchten Textstellen gespeichert.
    Im Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Doc Find Spec MRU" können ebenfalls Suchabfragen gespeichert sein.
    Die zuletzt gesuchten Computer sind im Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FindComputerMRU" gespeichert.
    Da die Suchleiste des Internet Explorers auch beim normalen Explorer einsetzbar ist, können auch dort Informationen gespeichert sein:

    Zuletzt gesuchDateien:te

    HKEY_CURRENT_USER \ Software \ Microsoft \Internet Explorer \ Explorer Bars \ {...CLSID...} \ FilesNamedMRU
    Zuletzt gesuchter Text:
    HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Explorer Bars \ {...CLSID...} \ ContainingTextMRU

    Zuletzt gesuchte Computer:

    HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Explorer Bars \ {...CLSID...} \ ComputerNameMRU
    Unter "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Map Network Drive MRU" sind schließlich noch die verbundenen Netzlaufwerke angeführt.
    Verwendete Dateien im Windows Media Player
    Der Media Player von Windows speichert die zuletzt abgespielten Dateien im Registry-Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ MediaPlayer \ Player \ RecentFileList" ab.

    Verwendete Microsoft Office-Dateien

    Alle Office-Programme führen im Datei-Menü eine Liste der zuletzt geöffneten Dateien auf. Die Dateinamen sind im Registry-Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ Office", gefolgt von der verwendeten Office-Version und dem Programmnamen, in einem Unterschlüssel mit dem Namen "Recent Files" bzw. "Recent Files List" abgelegt.

    Sonstige Programme

    Nicht nur Windows und Office speichern die zuletzt verwendeten Dateien ab. Auch andere Programme, wir etwa WinZip oder diverse Texteditoren führen solche Listen mit den zuletzt benutzten Dateien.

    Sonstiges


    Office Metadaten

    In Office-Dateien werden durch die einzelnen Office-Anwendungen viele Metadaten mit diversen Informationen gespeichert. Diese Informationen sind für die Funktionsweise des Dokuments nicht notwendig und können mitunter auch sensible Daten des Benutzers oder der Organisation enthalten. Microsoft bietet dazu ein Programm mit dem Namen "rhdtool.exe" an, das von Microsoft heruntergeladen werden kann. Mit diesem Tool ist es möglich, diese nicht benötigten Daten aus Office 2003 und Office XP Dokumenten zu entfernen. Als Betriebssystem ist Windows 2000 SP 4 oder Windows XP SP 1 erforderlich.
    Windows NT Data Streams
    Das Dateisystem NTFS ermöglicht das Speichern von Daten in alternativen Data-Streams. Mit solchen "Data-Streams" lassen sich Daten so in einer Datei verbergen, dass diese für den Windows Explorer nicht sichtbar sind. Allerdings gibt es bereits Programme, die solche Data-Streams anzeigen und löschen können. Darunter auch das Program "Streams" von www.sysinternals.com .
    Normalerweise werden Daten in den unbenannten Datenstream einer Datei geschrieben. Mit dem Befehl "echo hello > test" wird das Wort "hello" in die Datei "test" geschrieben. Gibt man allerdings einen bestimmten Datenstream zur Datei an, wird "hello" nicht in die Datei selbst, sondern in den angegebenen Datenstream geschrieben. Mit "echo hello > test:mystream" wird das Wort "hello" in den Stream "mystream" geschrieben. Die Datei selbst bleibt unverändert. Mit dem Kommando "more < test:mystream" kann der Inhalt des Streams wieder abgefragt werden. (Das Kommando "type" kann nicht mit Datenstreams arbeiten, weshalb "more" verwendet werden muss.)

    Dateianhänge

    Data Streams stellen eine gute Möglichkeit dar, Daten zu verbergen. Eine weitere Möglichkeit, wenngleich auch etwas simpler, ist das Anhängen von Daten an eine bestehende Datei. Dabei werden an das Dateiende eine Datei mit fester Länge beliebige Daten geschrieben. Speziell bei Programmen ist dies eine sehr beliebte Methode, um diese Daten "huckepack" zu transportieren. Auch bestimmte Bildformate sind dafür geeignet. Allerdings funktioniert dies bei "normalen" Textdateien nicht oder nur bedingt.

    Steganografie

    Steganografie bezeichnet jene Methode, Daten so in anderen Daten zu verstecken, dass diese für das menschliche Auge nicht sichtbar sind. Vorzugsweise werden zum Verbergen Bilddateien verwendet, jedoch können auch in Audiodateien geheime Daten verborgen werden.
    Im Gegensatz zu den oben beschriebenen Dateianhängen ist Steganografie weit mehr als nur das Anhängen von Daten. Die zu verbergenden Daten werden so in das Bild eingearbeitet, dass die Bilddatei dieselbe Größe beibehält und die Änderungen nicht auffallen. Lediglich mit speziellen Programmen kann ein so versteckter Text nachgewiesen werden. Dadurch, dass die verborgenen Daten normalerweise komprimiert und verschlüsselt in die Datei eingebunden werden, ist eine einfache Extraktion durch Dritte kaum möglich.


    Tools zu bereinigen der Verlauflisten


    ""Superutilites"" von der Firma Superlogix
    Info:Absoloutes Top Programm ähnlich Tune Up Utilities aber um klassen besser
    Allerdings kostet die Volversion stolze 119Euro

    Link:
    http://www.superlogix.net/

    ""A1 Ultra Pc-Cleaner""
    Firma:Superwin

    Info:Eines der mächtigsten Programme auf dem Markt um Verlauflisten von
    Windows zu bereinigen
    Link:
    http://www.superwin.com/index.htm
    Mfg

    @byHs
     
  3. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.