[HaBo]

sergei · 25.03.06, 16:12

hallo!

ich habe einen verschlüsselten container in dem sich dateien befinden die ich gerne geheim halten möchte. deshalb achte ich darauf dass kein programm pfad- oder dateinamen der verschlüsselten dateien in der registry ablegt. ob ein programm das tut lässt sich einfach überprüfen:

wird der container gemountet so erhält er temporär den laufwerksbuchstaben Z: wenn ein programm einen geheimen pfad- oder dateinamen in der registry abgelegt hat kann ich den entsprechenden key finden indem ich mit regedit.exe nach der zeichenfolge "Z:\" suche. im moment befinden sich in der registry keine schlüssel oder werte mit der zeichenfolge "Z:\". aus neugierde habe ich eben mal die ntuser.dat mit dem editor geöffnet und in dem zeichenwirrwarr nach "Z:\" gesucht und siehe da darin befinden sich noch einige pfade- und dateinamen von dateien deren existenz ich eigentlich geheim halten möchte.

meine konkrete frage: warum finde ich mit regedit.exe keine pfad- und dateinamen von dateien im laufwerk Z:\, in der ntuser.dat aber schon? die ntuser.dat enthält doch die selben daten wie die registry oder nicht?

ich hoffe ich habe mich verständlich ausgedrückt.

THRALL · 25.03.06, 17:26

Da ist nicht nur die registry drin sondern (fast) dein ganzes Profil.
SOnst hilft google

Anzeige

- Anzeige -

sergei · 26.03.06, 13:08

hallo!

das erklärt mir auch aber nicht warum in meiner ntuser.dat pfad- und dateinamen drin stehen. wie kann ich die da wieder rauslöschen?

THRALL · 26.03.06, 16:20

Die ntuser.dat ist sehr kompliziert aufgebaut.
Kannst ja mal nach ntuser.dat editor googlen habe haber keine ahnung ob die was taugen.

sergei · 27.03.06, 19:54

du sagst in der ntuser.dat ist nicht nur die registry des jeweiligen users (HKCU) gespeichert sondern fast das ganze profil. was genau soll heißen?

THRALL · 27.03.06, 20:15

Naja alles was Windows über dich "weis" also auch IE cookies usw

sergei · 27.03.06, 22:38

also ich bin durch zufall auf zwei "geheime" registry-schlüssel gestoßen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}

dort speichert windows pfade von zuletzt ausgeführten exe-dateien, also von programmen, und zwar verschlüsselt. es gibt ein programm namens User Assist Spy 1.2.1.0 das kann die einträge auslesen und entschlüsselt darstellen. weiters gibt es die möglich die verschlüsselung abzuschalten d.h. windows erstellt die einträge dann im klartext (die vorhandenen verschlüsselten einträge werden damit nicht entschlüsselt, das macht das programm user assist spy). hierzu muss man im schlüssel "UserAssist" einen unterschlüssel "Settings" erstellen und darin dann einen DWORD-Wert "NoEncrypt" "1".

mehr infos stehen hier und hier.

das ist zwar super interessant und neu für mich, löst aber nicht mein problem. d.h. ich habe noch immer pfade und dateinamen von verschlüsselten dateien in der ntuser.dat stehen und ich weiß net wieso. aus irgendeinem grund müssen die doch da drinnen stehen???

Anzeige

- Anzeige -

25.03.06, 16:12	#1 (permalink)
sergei Registriert seit: 25.03.06 Likes: 0	Frage zur Registry Anzeige hallo! ich habe einen verschlüsselten container in dem sich dateien befinden die ich gerne geheim halten möchte. deshalb achte ich darauf dass kein programm pfad- oder dateinamen der verschlüsselten dateien in der registry ablegt. ob ein programm das tut lässt sich einfach überprüfen: wird der container gemountet so erhält er temporär den laufwerksbuchstaben Z: wenn ein programm einen geheimen pfad- oder dateinamen in der registry abgelegt hat kann ich den entsprechenden key finden indem ich mit regedit.exe nach der zeichenfolge "Z:\" suche. im moment befinden sich in der registry keine schlüssel oder werte mit der zeichenfolge "Z:\". aus neugierde habe ich eben mal die ntuser.dat mit dem editor geöffnet und in dem zeichenwirrwarr nach "Z:\" gesucht und siehe da darin befinden sich noch einige pfade- und dateinamen von dateien deren existenz ich eigentlich geheim halten möchte. meine konkrete frage: warum finde ich mit regedit.exe keine pfad- und dateinamen von dateien im laufwerk Z:\, in der ntuser.dat aber schon? die ntuser.dat enthält doch die selben daten wie die registry oder nicht? ich hoffe ich habe mich verständlich ausgedrückt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Registry in cpp	felikz	Code Kitchen	3	18.04.05 22:04
registry	THRALL	Die Problemzone	2	08.03.05 20:44
Registry	8ball	Windows	6	02.10.04 20:40
Registry	Frosty	Code Kitchen	0	30.06.04 17:07
bez. registry	sprengmeister	Windows	11	20.09.03 20:12

25.03.06, 17:26	#2 (permalink)
THRALL Registriert seit: 15.01.05 Likes: 0	Da ist nicht nur die registry drin sondern (fast) dein ganzes Profil. SOnst hilft google

26.03.06, 13:08	#3 (permalink)
sergei Themenstarter Registriert seit: 25.03.06 Likes: 0	hallo! das erklärt mir auch aber nicht warum in meiner ntuser.dat pfad- und dateinamen drin stehen. wie kann ich die da wieder rauslöschen?

26.03.06, 16:20	#4 (permalink)
THRALL Registriert seit: 15.01.05 Likes: 0	Die ntuser.dat ist sehr kompliziert aufgebaut. Kannst ja mal nach ntuser.dat editor googlen habe haber keine ahnung ob die was taugen.

27.03.06, 19:54	#5 (permalink)
sergei Themenstarter Registriert seit: 25.03.06 Likes: 0	du sagst in der ntuser.dat ist nicht nur die registry des jeweiligen users (HKCU) gespeichert sondern fast das ganze profil. was genau soll heißen?

27.03.06, 20:15	#6 (permalink)
THRALL Registriert seit: 15.01.05 Likes: 0	Naja alles was Windows über dich "weis" also auch IE cookies usw

27.03.06, 22:38	#7 (permalink)
sergei Themenstarter Registriert seit: 25.03.06 Likes: 0	also ich bin durch zufall auf zwei "geheime" registry-schlüssel gestoßen: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837} HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9} dort speichert windows pfade von zuletzt ausgeführten exe-dateien, also von programmen, und zwar verschlüsselt. es gibt ein programm namens User Assist Spy 1.2.1.0 das kann die einträge auslesen und entschlüsselt darstellen. weiters gibt es die möglich die verschlüsselung abzuschalten d.h. windows erstellt die einträge dann im klartext (die vorhandenen verschlüsselten einträge werden damit nicht entschlüsselt, das macht das programm user assist spy). hierzu muss man im schlüssel "UserAssist" einen unterschlüssel "Settings" erstellen und darin dann einen DWORD-Wert "NoEncrypt" "1". mehr infos stehen hier und hier. das ist zwar super interessant und neu für mich, löst aber nicht mein problem. d.h. ich habe noch immer pfade und dateinamen von verschlüsselten dateien in der ntuser.dat stehen und ich weiß net wieso. aus irgendeinem grund müssen die doch da drinnen stehen???

[HaBo]

Frage zur Registry