Frage zur Registry

[sergei]

hallo!

ich habe einen verschlüsselten container in dem sich dateien befinden die ich gerne geheim halten möchte. deshalb achte ich darauf dass kein programm pfad- oder dateinamen der verschlüsselten dateien in der registry ablegt. ob ein programm das tut lässt sich einfach überprüfen:

wird der container gemountet so erhält er temporär den laufwerksbuchstaben Z: wenn ein programm einen geheimen pfad- oder dateinamen in der registry abgelegt hat kann ich den entsprechenden key finden indem ich mit regedit.exe nach der zeichenfolge "Z:\" suche. im moment befinden sich in der registry keine schlüssel oder werte mit der zeichenfolge "Z:\". aus neugierde habe ich eben mal die ntuser.dat mit dem editor geöffnet und in dem zeichenwirrwarr nach "Z:\" gesucht und siehe da darin befinden sich noch einige pfade- und dateinamen von dateien deren existenz ich eigentlich geheim halten möchte.

meine konkrete frage: warum finde ich mit regedit.exe keine pfad- und dateinamen von dateien im laufwerk Z:\, in der ntuser.dat aber schon? die ntuser.dat enthält doch die selben daten wie die registry oder nicht?

ich hoffe ich habe mich verständlich ausgedrückt.

 

[THRALL]

Da ist nicht nur die registry drin sondern (fast) dein ganzes Profil.
SOnst hilft google

 

[sergei]

hallo!

das erklärt mir auch aber nicht warum in meiner ntuser.dat pfad- und dateinamen drin stehen. wie kann ich die da wieder rauslöschen?

 

[THRALL]

Die ntuser.dat ist sehr kompliziert aufgebaut.
Kannst ja mal nach ntuser.dat editor googlen habe haber keine ahnung ob die was taugen.

 

[sergei]

du sagst in der ntuser.dat ist nicht nur die registry des jeweiligen users (HKCU) gespeichert sondern fast das ganze profil. was genau soll heißen?

 

[THRALL]

Naja alles was Windows über dich "weis" also auch IE cookies usw

 

[sergei]

also ich bin durch zufall auf zwei "geheime" registry-schlüssel gestoßen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}

dort speichert windows pfade von zuletzt ausgeführten exe-dateien, also von programmen, und zwar verschlüsselt. es gibt ein programm namens User Assist Spy 1.2.1.0 das kann die einträge auslesen und entschlüsselt darstellen. weiters gibt es die möglich die verschlüsselung abzuschalten d.h. windows erstellt die einträge dann im klartext (die vorhandenen verschlüsselten einträge werden damit nicht entschlüsselt, das macht das programm user assist spy). hierzu muss man im schlüssel "UserAssist" einen unterschlüssel "Settings" erstellen und darin dann einen DWORD-Wert "NoEncrypt" "1".

mehr infos stehen hier und hier.

das ist zwar super interessant und neu für mich, löst aber nicht mein problem. d.h. ich habe noch immer pfade und dateinamen von verschlüsselten dateien in der ntuser.dat stehen und ich weiß net wieso. aus irgendeinem grund müssen die doch da drinnen stehen???