[HaBo]

n8m

Anzeige

In dieser kleinen Anleitung schildert Sarah Dean, dass per Regedit gelöschte Keys zwar in Regedit nicht mehr sichtbar sind, aber dennoch noch vorhanden sein könnten. Die einzige Möglichkeit, die schon gelöschten Keys wirklich sicher zu löschen bestünde darin, nach dem Löschvorgang die gesamte Registry zu komprimieren.

http://www.sdean12.org/SecureTrayUtil.htm#Appendix%20B


Wisst ihr zufällig, ob das auch unter XP funktioniert, oder kennt ihr eventuell sogar einfachere Methoden, um das Ziel zu erreichen? Kann man Registry-Einträge vielleicht sogar "schreddern"?


grüze

n8m

nlite

Das muss die gute Frau erst mal beweisen-es gibt unzählige Tweaks, die auf dem Löschen von Keys beruhen und wo man das Nicht-Funktionieren sofort erkennen würde. Ein Beispiel wären etwa die Einträge unter HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\RemoteComputer, die dafür verantwortlich sind, dass in einer Netzwerkumgebung nach Tasks und Druckern gesucht wird (und die man daher aus Performance-Überlegungen löschen kann).
Das Komprimieren löscht noch keine Daten, überschreibt aber möglicherweise freigegebenen Speicherplatz. Das kann, muss aber nicht, gelöschte Datenfragmente aus der Registry beinhalten.Den gleichen Effekt kann man auch mit einem Boot-Defragmentierer erreichen, welcher neben anderen Systemdateien auch die Registry defragmentiert.

Um einen einzelnen Key auf immer und ewig zu löschen, müsste man ihn schon mehrfach überschreiben - wobei das in diesem Zusammenhang bedeuten würde, mit Kanonen auf Spatzen zu schießen...

n8m

Ich habe ja garnichts böses damit vor...

Mir geht es nur darum, wenn ich zum Beispiel Truecrypt im Travellermodus vom USB-Stick laufen lasse, die Spuren des Programms danach komplett von meinem PC verschwinden zu lassen, sodass auch ein gewiefter Forensiker nicht mehr feststellen kann, dass das Programm mal auf meinem PC gelaufen ist. Ich kann zwar den enstandenen Registry Key löschen, allerdings bin ich mir nicht sicher, ob er nicht wieder rekonstruierbar ist.

BattleMaker

Also wenn man einen Registry-Wert 'überschreibt', dann überschreibt man im Prinzip ja nur den Inhalt des Wertes, nicht den Wert selbst (den Namen des Wertes).

Der Inhalt eines Registry-Wertes wäre also nur sehr schwer od. gar nicht wiederherzustellen, aber wenn es nur darum geht die Aktivität eines bestimmten Programms nachzuweisen reicht bereits ein Nachweis eines Registry-Wertes.

Die Komprimierung der Registry hat in meinen Augen nur bedingt Aussichten auf Erfolgt - es hängt halt davon ab wie intensiv die Registrierung komprimiert werden kann.

Es würde mich aber zugegebenermaßen auch interessieren, wie Registry-Schlüssel "sicher" zu löschen sind.



MfG, BattleMaker

n8m

Ich hab mir halt so ein kleines .reg-file zusammengebastelt:

[-HKEY\xxxxx]@= löscht nur den Inhalt

[-HKEY\xxxx] löscht den kompletten Schlüssel

[HKEY/xxxxx]"X:\\xxxxxxxx\\xxxxxxxx.exe"=- löscht nur den in "" spezifizierten Eintrag



EDIT: So habe nun ein bisschen weiter recherchiert und folgendes gefunden:

Einmal eine 1-try-Shareware namens Registry Shredder, von der der Autor behauptet, sie könne REG_SZ-Werte "shreddern", alle anderen Werte und Keys würden normal gelöscht. Der Auto deutet an, in Zukunft könnten auch andere Werte mehrfach überschrieben werden.
http://deeptide.com/software.htm

Ich frage mich, wie genau das funktioniert. Eventuell ein kleines Programm, dass bestimmte Werte in der Registry einfach mehrfach ändert, abspeichert und zum Schluss löscht?