[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] Microsoft's Really Hidden Files: A New Look At Forensics.



"Kai Raven" <kai.raven@t-online.de> schrieb:

> c:\dokumente und einstellungen\username\lokale einstellungen\verlauf
> (alias "history")
> der Pfad geht weiter mit \history.ie5\
>
> darin
> index.dat

Das sollte ein Überbleibsel irgendeiner alten Version sein.
Zumindest gibt es diese Datei bei mir nicht. Beobachte einfach,
welche Dateien nach einem vollständigen Löschen des Verzeichnisses
neu angelegt werden.

> dann \history.ie5\MSHist01DatumDatum\
> darin
> index.dat

Das sind die "normalen" History-Dateien.

> die sind mit dem Explorer nicht zu sehen, auch nicht in der CMD mit
> dir /ahs /S

Das liegt daran, daß zum einen für den Explorer eine "costumisierte"
Ansicht existiert (über die Datei "desktop.ini" im selben Verzeichnis
vermittelt), zum anderen an der vermutlich irrtümlichen Verwendung des
Befehls "dir". Optionen "/as" sollten zum Ziel führen, da das "hidden"
-Attribut dieser Dateien nicht gesetzt ist.

> in den index.dat Dateien werden die besuchten URL's gespeichert. Nach
> Löschung der History mit dem IE verschwinden sie aus
> \history.ie5\index.dat, aber nicht aus der \MSHist...\index.dat

Hört sich nach ein paar vermischten Versionen an.

> unter den Schlüsseln
> HKEY_USERS\S-langeNummer\Software\Microsoft\Internet Explorer\TypedURLs
> HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
> werden eingetippte URL's gespeichert.

Anders wäre die Suchfunktion mit der aufklappenden Listbox auch
kaum zu realisieren, oder? Wenn man diese Funktion deaktiviert,
sollten die URIs auch nicht mehr gespeichert werden, habe ich
jedoch nicht probiert.

> (Express) kann ich nix sagen, weil ich die für E-Mail/News nicht
> benutze.

Es ist einfach so, daß gelöschte Nachrichten nicht sofort aus der
Datenbank verschwinden, sondern erst beim Bereinigen der Datenbank,
was man entweder manuell oder regelmäßig automatisch erledigen
kann.

Es ist mir beinahe etwas peinlich, das zu schreiben. Liest sich
immerhin so, als wollte ich M$ verteidigen. Aber wenn die wissen
wollen, wohin man surft, würden die es direkt an einen ihrer
Server funken (was ja auch stellenweise geschieht), jedoch nicht
auf der Platte speichern, wo das auch irgendwann auffallen würde,
wenn der Plattenplatz zusehends abnimmt ...

MfG


-- 
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de