Dieses Dokument enthält eine Zusammenstellung diverser Daten, die man bei der täglichen Arbeit mit dem Computer hinterlässt. Über manche Daten weiß man Bescheid, andere hingegen werden automatisch erstellt, ohne dass der Benutzer etwas davon merkt.
Webbrowser
History / VerlaufSonstige Internetprogramme
Cookies
Adobe Flash Cookies
Cache
Automatische Vervollständigung
Eingegebene Adressen
Sonstiges
E-MailclientsTemporäre Daten
KaZaA & Co.
Download-Manager
Temporäre DateienZuletzt verwendete Objekte
Windows-Auslagerungsdatei
Ruhezustand
Verwendete DateienSonstiges
Ausgeführte Programme
Geöffnete und gespeicherte Dateien
Gesuchte Dateien, Dateiinhalte und Computer
Verwendete Dateien im Windows Media Player
Verwendete Microsoft Office-Dateien
Sonstige Programme
Office Metadaten
Windows NT Data Streams
Webbrowser speichern eine Vielzahl an Informationen, um das Surfen im Internet so einfach und schnell wie möglich zu machen. Das bedeutet aber auch, dass mitunter auch ungewollt sensible Informationen gespeichert werden.
In der History werden alle besuchten Adressen gespeichert. Sie stellen somit einen "Verlauf" der Surf-Aktivität dar.
Die Microsoft Verlauf-Dateien - die sowohl der Explorer, als auch der Internet Explorer generiert, werden im Verlauf-Ordner mit dem Namen "index.dat" abgespeichert. Dabei ist die Datei im Verlauf-Verzeichnis selbst die aktuelle Übersicht. In Unterordnern sind weitere Dateien gespeichert, die ältere Daten beinhalten und jeweils für einen bestimmten Zeitbereich gelten (meist für eine Woche).
Wie der Internet Explorer besitzen auch Mozilla-Browser eine "History". Dadurch lassen sich auch hier alle besuchten Seiten (chronologisch der Reihe nach) feststellen. Die History ist in der Datei "history.dat" in einem Unterverzeichnis von "profiles" gespeichert.
Der Opera Browser speichert alle Webseitenzugriffe der Reihe nach in der Datei "global.dat", im Unterverzeichnis "profile".
Als "Cookies" werden Informationen bezeichnet, die von diversen Webseiten auf dem lokalen Rechner abgelegt werden. Dies können Einstellungen, Zugriffs- oder Identifikationsnummern, oder auch Zähler sein.
Der Internet Explorer speichert Cookies in Textdateien im Verzeichnis "Cookies" des jeweiligen Benutzerverzeichnisses.
Die Mozilla-Browser speichern alle Cookies in der Datei "cookies.txt", die sich in einem Unterverzeichnis des "profiles"-Ordners befindet.
Opera speichert die Cookies in einer Binärdatei im Verzeichnis "profile".
Adobe Flash Cookies ermöglichen Webseiten, Inhalte browserunabhängig und ohne Verfallsdatum auf dem Client-Rechner speichern. So werden Daten, die beim Betrachten von Flash-Inhalten (Filme, Streaming Media, Werbung usw.) mit einem Browser (z. B. Mozilla Firefox) geschrieben wurden, auch beim Betrachten der gleichen Internetseite mit einem anderen Browser (z. B. Internet Explorer) an den Server gesendet.
Problematisch bei diesen Cookies ist unter anderem, dass diese nur manuell oder mit eigenen Programmen oder Browser-Plugins entfernt werden können. Weiters bietet Adobe mit dem Einstellungs-Manager die Möglichkeit, diese Cookies zu löschen oder deren Speichergröße zu beschränken. Dieser ist unter Windows in der Systemsteuerung unter "Flash Player" zu finden.
Die Flash Cookies werden unter Windows in den Ordnern "%AppData%\Macromedia\Flash Player\#SharedObjects" und "%APPDATA%\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys" gespeichert.
Jeder Webbrowser speichert (falls eingestellt) die heruntergeladenen Seiten und Bilder auf der Festplatte, um in Zukunft schneller darauf zugreifen zu können. Meist sind die Daten in einem Unterverzeichnis mit dem Namen "Cache" gespeichert. Der Internet Explorer legt diese Daten im Ordner "Temporäre Internetdateien" ab.
Beim Ausfüllen eines Formulars auf einer Webseite speichert der Webbrowser die Informationen, um diese beim nächsten Besuch dieser Seite automatisch in das Formular einzusetzen.
Mozilla Browser speichern diese Daten in der Datei "formhistory.dat" ab. Logins und Passwörter werden verschlüsselt in die Datei "signons.txt" eingetragen.
Opera speichert die Benutzernamen und Passwörter in der Datei "wand.dat", ebenfalls verschlüsselt.
In einem Webbrowser wird die aktuelle URL in einer Combo-Box angezeigt, aus der die zuvor eingegebenen URLs aufgerufen werden können. Diese Adressen in dieser Liste wurden vom Benutzer selbst eingegeben.
Der Internet Explorer speichert diese Adressen in der Registry, im Schlüssel "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs" ab.
Der Opera Browser speichert diese Informationen in einer Textdatei namens "opera.dir" im Verzeichnis "profile".
Manche Browser protokollieren auch Downloads mit oder führen zu den Favoriten auch das Datum und die Zeit des letzten Zugriffes an. Weiters können Browser-Plugins ebenfalls Daten mit sensiblen Informationen hinterlassen.
Gefällt dir meine Webseite, meine Freeware-Programme oder Online-Tools?
Dann spende bitte per PayPal und hilf mit, den Inhalt weiterhin kostenlos anbieten zu können - jeder Betrag ist willkommen!
E-Mail Clients speichern oft nicht nur die eigentlichen Nachrichten, die empfangen oder versendet wurden, sondern auch weitere Informationen wie etwa der Speicherzeitpunkt einer Nachricht auf dem lokalen Rechner.
Weiters speichern alle Mailprogramme die Zugangsdaten zu den einzelnen Mail- und News-Accounts ab. Diese Daten sind sehr sensibel, weshalb viele Programme diese Informationen verschlüsseln. Aber für praktisch jeden Client gibt es ein Programm, dass die Benutzerdaten auslesen kann.
Wird eine Nachricht gelöscht, wird sie meist nur in einen anderen Ordner verschoben. Bei Outlook Express ist dies z.B. die Datei "Gelöschte Objekte.dbx". Weiters werden gelöschte Nachrichten nicht aus der Datenbank entfernt, sondern nur als gelöscht markiert. Dies bedeutet nichts anderes, als dass diese Bereiche mit neuen Nachrichten überschrieben werden können. Erst beim Komprimieren der Datenbanken werden diese Datenreste entfernt. Auch bei Outlook bleiben die Nachrichten nach dem Löschen einer Mail in der PST-Datei gespeichert.
Filesharing-Programme, wie z.B. KaZaA, speichern detaillierte Informationen zu den heruntergeladenen oder angebotenen Dateien.
KaZaA legt während des Downloads für jede herunterzuladende Datei eine temporäre Datei im Ordner "My Shared Folder" an. Die Namen dieser Dateien beginnen mit "download" und enden mit der Dateinamenserweiterung ".dat", also beispielsweise "download105606037939213245.dat". Am Ende dieser Datei speichert KaZaA den FastTrack Download Appendix, der aus Informationen zu dieser Datei und zu den Verbindungsdaten, die zum Download erforderlich sind, besteht. So sind nicht nur die Startzeit des Downloads, die Dateigröße und der (zukünftige) Name der Datei eingetragen, sondern auch die KaZaA-Benutzernamen und die IP-Adresse von demjenigen, von dem die Datei oder ein Teil der Datei herunter geladen wurde.
KaZaA protokolliert ausführlich alle Dateien, die im "My Shared Folder" abgelegt sind. Damit sind alle heruntergeladenen, sowie alle zum Tausch angebotenen Dateien betroffen. Auch wenn eine heruntergeladene Datei umbenannt wird, entgeht sie KaZaA nicht und wird ebenfalls in das Verzeichnis aufgenommen. Diese Informationen werden im Unterverzeichnis "db" des Programmverzeichnisses gespeichert. Dabei verwendet KaZaA das "KaZaA FastTrack Local Shared Objects Meta Database File Format". KaZaA verwaltet die Informationen je nach Größe in 4 Datenbankdateien: "data256.dbb", "data1024.dbb", "data2048.dbb" und "data4096.dbb". In diesen Datenbanken sind nicht nur Informationen zur Datei enthalten, sondern auch der Zeitpunkt der letzten Änderung und ggf. der Zeitpunkt des letztmöglichen Austausches jeder einzelnen Datei.
Auch Download-Manager protokollieren alle Downloads genau mit.
Der Download-Manager GetRight speichert die Daten der (vollständigen) Downloads in der Datei "GetRight.hst". Neben Dateinamen, Datenursprung und Dateigröße werden auch der Zeitpunkt des Starts und des Endes von jedem Download festgehalten. Weiters wird die exakte Dauer des Downloads gespeichert.
Der Download-Manager ReGet Deluxe speichert jeden Download in der Datei "history.hst". Neben dem Quellpfad und dem Zielverzeichnis sind auch die Größe der Datei und die Zeit der Beendigung des Downloads enthalten.
Temporäre Dateien sind Dateien, die von Programmen angelegt werden, um darin vorübergehend Informationen zu speichern. Jedes Programm sollte diese Dateien beim Beenden löschen, allerdings wird dies oft verabsäumt. Grundsätzlich findet man solche Dateien im Temporären Verzeichnis von Windows bzw. im Benutzerverzeichnis. Einige Programme, wie etwa Word, legen eine temporäre Datei in jenem Ordner an, in dem sich die zu bearbeitende Datei befindet.
Abhängig von den Einstellungen und dem verwendeten Betriebssystem, speichert der Windows Explorer Vorschaubilder von Bild- und Videodateien, die im Explorerfenster aufgelistet werden.
Die Auslagerungsdatei von Windows ("win386.swp" unter Windows 9x, bzw. "pagefile.sys" unter Windows NT/XP) wird als virtueller Speicher verwendet. Das bedeutet, dass darin unter Umständen auch unverschlüsselte Passwörter und sonstige sensible Daten abgelegt sein können.
In der Datei "hiberfil.sys" wird der Speicherinhalt geschrieben, wenn der Computer in den Ruhezustand wechselt, um den Speicherinhalt ggf. danach wieder herstellen zu können. Auch hier wird der Inhalt des Speichers direkt in die Datei geschrieben. Dadurch können in dieser Datei mitunter auch sensible Daten unverschlüsselt abgelegt sein.
Windows speichert die Liste der zuletzt verwendeten Dateien in der Registry unter dem Schlüssel "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs", sowie dessen Unterverzeichnisse.
Weiters sind im Benutzerverzeichnis, im Unterordner "Recent", Links zu den zuletzt verwendeten Dateien gespeichert.
Wenn über das Startmenü > "Ausführen..." ein Programm gestartet wird, speichert Windows die eingegebene Befehlszeile in der Registry ab. Diese Liste ist im Schlüssel "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU" gespeichert.
Eine Liste der zuletzt geöffneten oder gespeicherten Dateien ist unter dem Registry-Schlüssel "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU" abgelegt.
Weiters wird eine Liste der zuletzt besuchten Dateien unter "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU" geführt.
Windows speichert auch die letzten Suchabfragen nach Dateinamen, Dateiinhalten oder Computernamen. Diese Informationen sind ebenfalls in der Registry gespeichert.
Im Schlüssel "HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru" befinden sich zwei Unterschlüssel. Im Unterschlüssel "5603" sind die zuletzt gesuchten Dateinamen und unter "5604" sind die zuletzt gesuchten Textstellen gespeichert.
Im Schlüssel "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU" können ebenfalls Suchabfragen gespeichert sein.
Die zuletzt gesuchten Computer sind im Schlüssel "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FindComputerMRU" gespeichert.
Da die Suchleiste des Internet Explorers auch beim normalen Explorer einsetzbar ist, können auch dort Informationen gespeichert sein:
Zuletzt gesuchte Dateien:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{...CLSID...}\FilesNamedMRUZuletzt gesuchter Text:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{...CLSID...}\ContainingTextMRUZuletzt gesuchte Computer:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{...CLSID...}\ComputerNameMRU
Unter "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU" sind schließlich noch die verbundenen Netzlaufwerke angeführt.
Der Media Player von Windows speichert die zuletzt abgespielten Dateien im Registry-Schlüssel "HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\RecentFileList" ab.
Alle Office-Programme führen im Datei-Menü eine Liste der zuletzt geöffneten Dateien auf. Die Dateinamen sind im Registry-Schlüssel "HKEY_CURRENT_USER\Software\Microsoft\Office", gefolgt von der verwendeten Office-Version und dem Programmnamen, in einem Unterschlüssel mit dem Namen "Recent Files" bzw. "Recent Files List" abgelegt.
Nicht nur Windows und Office speichern die zuletzt verwendeten Dateien ab. Auch andere Programme, wir etwa WinZip oder diverse Texteditoren führen solche Listen mit den zuletzt benutzten Dateien.
In Office-Dateien werden durch die einzelnen Office-Anwendungen viele Metadaten mit diversen Informationen gespeichert. Diese Informationen sind für die Funktionsweise des Dokuments nicht notwendig und können mitunter auch sensible Daten des Benutzers oder der Organisation enthalten. Microsoft bietet dazu ein Programm mit dem Namen "rhdtool.exe" an, das von Microsoft heruntergeladen werden kann. Mit diesem Tool ist es möglich, diese nicht benötigten Daten aus Office 2003 und Office XP Dokumenten zu entfernen. Als Betriebssystem ist Windows 2000 SP 4 oder Windows XP SP 1 erforderlich.
Das Dateisystem NTFS ermöglicht das Speichern von Daten in alternativen Datenströmen (ADS). Damit lassen sich Daten so in einer Datei verbergen, dass diese für den Windows Explorer nicht sichtbar sind. ADS werden z.B. von Windows dazu benutzt, um eine aus dem Internet herunter geladene Datei als solche zu markieren.
Normalerweise werden Daten in den unbenannten Datenstrom einer Datei geschrieben. Mit dem Befehl "echo hello > test
" wird das Wort "hello" in die Datei "test" geschrieben. Gibt man allerdings einen bestimmten Datenstrom zur Datei an, wird "hello" nicht in die Datei selbst, sondern in den angegebenen Datenstrom geschrieben. Mit "echo hello > test:mystream
" wird das Wort "hello" in den Stream "mystream" geschrieben. Die Datei selbst bleibt unverändert. Mit dem Befehl "more < test:mystream
" kann der Inhalt des Streams wieder abgefragt werden. Der Befehl TYPE kann nicht mit Datenströmen arbeiten, weshalb MORE verwendet werden muss.
Lese mehr zum Thema alternative Datenströme.
Gefällt dir meine Webseite, meine Freeware-Programme oder Online-Tools?
Dann spende bitte per PayPal und hilf mit, den Inhalt weiterhin kostenlos anbieten zu können - jeder Betrag ist willkommen!