Instructie Qsuite | Hoe bewaak ik de processen m.b.v. de activiteiten?
Gegevens terughalen m.b.v het register
15
Terughalen van gegevens met hulp van het register
description
Slidecast Yves Van Stappen & Kevin Stobbelaar.Taak 3 Communicatievaardigheden
Transcript of Gegevens terughalen m.b.v het register
Terughalen van gegevens met hulp van het register
Het register doet meer dan je denkt.
Kevin Stobbelaar & Yves Van Stappen
2
register = bron van informatie
tussenbewerkingenvoor CPU
instellingen van gebruikers
waarden voor applicaties
terughalen van bestanden
Primaire structuur: hives.
Kevin Stobbelaar & Yves Van Stappen
3
hive = logische groep van waarden= vaste syntax (HKEY)= kan meerdere hives bevatten= blokken van bepaalde grootte
Primaire structuur: keys.
Kevin Stobbelaar & Yves Van Stappen
4
key = map met informatie = syntax:
HKEY_LOCAL_MACHINE\software\microsoft\windows
Primaire structuur: keys.
Kevin Stobbelaar & Yves Van Stappen
5
Key-records:SubkeylijstValuelijstMTIME veldSecurityrecords
Key: selectMTIMESecurity record
Subkeylijst: CurrentControlSet
Subkey: Control
Value
Value
Overzicht van structuur
Kevin Stobbelaar & Yves Van Stappen
6
Key: select MTIME
Security record
Subkeylijst: CurrentControlSet
Subkey: Control
Value
Value
Hive: HKEY_LOCAL_MACHINE
Hive: Software
Kevin Stobbelaar & Yves Van Stappen
7
Verwijderen van key:
subkeylijst wordt overgeschreven => geen link naar subkey
subkeys aanwezig = overschrijven van MTIME
security record verwijderd
Verwijderen uit het register.
Verwijderen van key:
Kevin Stobbelaar & Yves Van Stappen
8
Parentkey
Subkey
Valuelist
Value
Value
Verwijderen uit het register.
Verwijderen van key:
verwijderen van parentkey = links naar valuelist intact
Kevin Stobbelaar & Yves Van Stappen
9
Parentkey
Subkey
Valuelist
Value
Value
Verwijderen uit het register.
subkeylijst wordt herschreven
Verwijderen van subkey:
Kevin Stobbelaar & Yves Van Stappen
10
A B C D E
A C D E E
A C E E E
A C E E E
C C E E E
Nadat B verwijderd is
Nadat D verwijderd is
Nadat E verwijderd is
Nadat A verwijderd is
Verwijderen uit het register.
Verwijderen van value.
valuelist herschreven
Kevin Stobbelaar & Yves Van Stappen
11
Verwijderen uit het register.
Bestanden terughalen.
Kevin Stobbelaar & Yves Van Stappen
12
Werkt via algoritme:
1) zoeken naar intacte waarden
2) intacte waarden wegschrijven
3) reconstructie met behulp van die waarden
Illustratie.
Nieuwe keys na aanmaken van nieuw account.
Bestanden terughalen.
Kevin Stobbelaar & Yves Van Stappen
13
Path Type MTIME
/SAM/Domains/Account/users/00003EC KEY 2008-05-04 23:43:19
/SAM/Domains/Account/users/00003EC/F
BINARY N/A
/SAM/Domains/Account/users/00003EC/V
BINARY N/A
/SAM/Domains/Account/users/Names/Kobayashi
KEY 2008-05-04 23:43:19
/SAM/Domains/Account/users/Names/Kobayashi
0x03EC N/A
Illustratie.
Resterende keys na verwijderen account.
Bestanden terughalen.
Kevin Stobbelaar & Yves Van Stappen
14
Path Type MTIME
/SAM/SAM/Domains/Account/users/Names/Kobayashi
KEY 2008-05-04 23:43:19
/SAM/SAM/Domains/Builtin/Aliases/members/Kobayashi
KEY 2008-05-04 23:43:19
Conclusie:
Kevin Stobbelaar & Yves Van Stappen
15
Register bevat veel informatie
Mogelijkheid tot herstellen van verwijderde bestanden
Niet 100 procent betrouwbaar
