Die Seite Gaijin.at wird durch Werbung finanziert.
Durch das Zulassen von Werbung auf der Domain Gaijin.at helfen Sie mit, weiterhin kostenlos Programme, Scripts und Online-Tools anzubieten.

Digitale Fußspuren

Inhalt

Webbrowser
History / Verlauf
Cookies
Adobe Flash Cookies
Cache
Automatische Vervollständigung
Eingegebene Adressen
Sonstiges
Sonstige Internetprogramme
E-Mailclients
KaZaA & Co.
Download-Manager
Temporäre Daten
Temporäre Dateien
Windows-Auslagerungsdatei
Ruhezustand
Zuletzt verwendete Objekte
Verwendete Dateien
Ausgeführte Programme
Geöffnete und gespeicherte Dateien
Gesuchte Dateien, Dateiinhalte und Computer
Verwendete Dateien im Windows Media Player
Verwendete Microsoft Office-Dateien
Sonstige Programme
Sonstiges
Office Metadaten
Windows NT Data Streams

Relevante Programme

Dieses Dokument enthält eine Zusammenstellung diverser Daten, die man bei der täglichen Arbeit mit dem Computer hinterlässt. Über manche Daten weiß man Bescheid, andere werden automatisch erstellt, ohne dass der Benutzer etwas davon merkt.

Webbrowser

Webbrowser speichern eine Vielzahl an Informationen, um das Surfen im Internet so einfach und schnell wie möglich zu machen. Das bedeutet aber auch, dass mitunter auch ungewollt sensible Informationen gespeichert werden.

History / Verlauf

In der History werden alle besuchten Adressen gespeichert. Sie stellen somit einen "Verlauf" der Surfaktivität dar.

Die Microsoft Verlauf-Dateien - die sowohl der Explorer, als auch der Internet Explorer generiert, werden im Verlauf-Ordner mit dem Namen "index.dat" abgespeichert. Dabei ist die Datei im Verlauf-Verzeichnis selbst die aktuelle Übersicht. In Unterordnern sind weitere Dateien gespeichert, die ältere Daten beinhalten und jeweils für einen bestimmten Zeitbereich gelten (meist für eine Woche).

Wie der Internet Explorer besitzen auch Mozilla-Browser eine "History". Dadurch lassen sich auch hier alle besuchten Seiten (chronologisch der Reihe nach) feststellen. Die History ist in der Datei "history.dat" in einem Unterverzeichnis von "profiles" gespeichert.

Der Opera Browser speichert alle Webseitenzugriffe der Reihe nach in der Datei "global.dat", im Unterverzeichnis "profile".

Cookies

Als "Cookies" werden Informationen bezeichnet, die von diversen Webseiten auf dem lokalen Rechner abgelegt werden. Dies können Einstellungen, Zugriffs- oder Identifikationsnummern, oder auch Zähler sein.

Der Internet Explorer speichert Cookies in Textdateien im Verzeichnis "Cookies" des jeweiligen Benutzerverzeichnisses.

Die Mozilla-Browser speichern alle Cookies in der Datei "cookies.txt", die sich in einem Unterverzeichnis des "profiles"-Ordners befindet.

Opera speichert die Cookies in einer Binärdatei im Verzeichnis "profile".

Adobe Flash Cookies

Adobe Flash Cookies ermöglichen Webseiten, Inhalte browserunabhängig und ohne Verfallsdatum auf dem Client-Rechner speichern. So werden Daten, die beim Betrachten von Flash-Inhalten (Filme, Streaming Media, Werbung usw.) mit einem Browser (z. B. Mozilla Firefox) geschrieben wurden, auch beim Betrachten der gleichen Internetseite mit einem anderen Browser (z. B. Internet Explorer) an den Server gesendet.

Problematisch bei diesen Cookies ist unter anderem, dass diese nur manuell oder mit eigenen Programmen oder Browser-Plugins entfernt werden können. Weiters bietet Adobe mit dem Einstellungs-Manager die Möglichkeit, diese Cookies zu löschen oder deren Speichergröße zu beschränken.

Die Flash Cookies werden unter Windows in den Ordnern "%AppData%\Macromedia\Flash Player\#SharedObjects" und "%APPDATA%\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys" gespeichert.

Cache

Jeder Webbrowser speichert (falls eingestellt) die heruntergeladenen Seiten und Bilder auf der Festplatte, um in Zukunft schneller darauf zugreifen zu können. Meist sind die Daten in einem Unterverzeichnis mit dem Namen "Cache" gespeichert. Der Internet Explorer legt diese Daten im Ordner "Temporäre Internetdateien" ab.

Automatische Vervollständigung

Beim Ausfüllen eines Formulars auf einer Webseite speichert der Webbrowser die Informationen, um diese beim nächsten Besuch dieser Seite automatisch in das Formular einzusetzen.

Mozilla Browser speichern diese Daten in der Datei "formhistory.dat" ab. Logins und Passwörter werden verschlüsselt in die Datei "signons.txt" eingetragen.

Opera speichert die Benutzernamen und Passwörter in der Datei "wand.dat", ebenfalls verschlüsselt.

Eingegebene Adressen

In einem Webbrowser wird die aktuelle URL in einer Combo-Box angezeigt, aus der die zuvor eingegebenen URLs aufgerufen werden können. Diese Adressen in dieser Liste wurden vom Benutzer selbst eingegeben.

Der Internet Explorer speichert diese Adressen in der Registry, im Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ TypedURLs" ab.

Der Opera Browser speichert diese Informationen in einer Textdatei namens "opera.dir" im Verzeichnis "profile".

Sonstiges

Manche Browser protokollieren auch Downloads mit oder führen zu den Favoriten auch das Datum und die Zeit des letzten Zugriffes an. Weiters können Browser-Plugins ebenfalls Daten mit sensiblen Informationen hinterlassen.

Sonstige Internetprogramme

E-Mailclients

E-Mail Clients speichern oft nicht nur die eigentlichen Nachrichten, die empfangen oder versendet wurden, sondern auch weitere Informationen, wie etwas Outlook Express. In den Nachrichtendatenbanken ist unter anderem auch der Zeitpunkt der Speicherung einer Mail in einem lokalen Nachrichtenordner angeführt.

Weiters speichern alle Mailclients die Zugangsdaten zu den einzelnen Mail- und News-Accounts ab. Diese Daten sind sehr sensibel, weshalb viele Programme diese Informationen verschlüsseln. Aber für praktisch jeden Client gibt es ein Programm, dass die Benutzerdaten auslesen kann.

Wird eine Nachricht gelöscht, wird sie meist nur in einen anderen Ordner verschoben. Bei Outlook Express ist dies z.B. die Datei "Gelöschte Objekte.dbx". Weiters werden gelöschte Nachrichten nicht aus der Datenbank entfernt, sondern nur als "gelöscht" markiert. Dies bedeutet nichts anderes, als dass diese Bereiche mit neuen Nachrichten überschrieben werden können. Erst beim "Komprimieren" der Datenbanken werden diese Datenreste entfernt. Auch bei Outlook bleiben die Nachrichten nach dem Löschen einer Mail in der PST-Datei gespeichert.

KaZaA & Co.

Filesharing-Programme, wie z.B. "KaZaA", speichern detaillierte Informationen zu den heruntergeladenen oder angebotenen Dateien.

KaZaA legt während des Downloads für jede herunterzuladende Datei eine temporäre Datei im Ordner "My Shared Folder" an. Die Namen dieser Dateien beginnen mit "download" und enden mit der Dateinamenerweiterung ".dat", also beispielsweise "download105606037939213245.dat". Am Ende dieser Datei speichert KaZaA den FastTrack Download Appendix, der aus Informationen zu dieser Datei und zu den Verbindungsdaten, die zum Download erforderlich sind, besteht. So sind nicht nur die Startzeit des Downloads, die Dateigröße und der (zukünftige) Name der Datei eingetragen, sondern auch die KaZaA-Benutzernamen und die IP-Adresse von demjenigen, von dem die Datei oder ein Teil der Datei herunter geladen wurde.

KaZaA protokolliert ausführlich alle Dateien, die im "My Shared Folder" abgelegt sind. Damit sind alle heruntergeladenen, sowie alle zum Tausch angebotenen Dateien betroffen. Auch wenn eine heruntergeladene Datei umbenannt wird, entgeht sie KaZaA nicht und wird ebenfalls in das Verzeichnis aufgenommen. Diese Informationen werden im Unterverzeichnis "db" des Programmverzeichnisses gespeichert. Dabei verwendet KaZaA das "KaZaA FastTrack Local Shared Objects Meta Database File Format". KaZaA verwaltet die Informationen je nach Größe in 4 Datenbankdateien: "data256.dbb", "data1024.dbb", "data2048.dbb" und "data4096.dbb". In diesen Datenbanken sind nicht nur Informationen zur Datei enthalten, sondern auch der Zeitpunkt der letzten Änderung und ggf. der Zeitpunkt des letztmöglichen Austausches jeder einzelnen Datei.

Download-Manager

Auch Download-Manager protokollieren alle Downloads genau mit.

Der Download-Manager GetRight speichert die Daten der (vollständigen) Downloads in der Datei "GetRight.hst". Neben Dateinamen, Datenursprung und Dateigröße werden auch der Zeitpunkt des Starts und des Endes von jedem Download festgehalten. Weiters wird die exakte Dauer des Downloads gespeichert.

Der Download-Manager ReGet Deluxe speichert jeden Download in der Datei "history.hst". Neben dem Quellpfad und dem Zielverzeichnis sind auch die Größe der Datei und die Zeit der Beendigung des Downloads enthalten.

Temporäre Daten

Temporäre Dateien

Temporäre Dateien sind Dateien, die von Programmen angelegt werden, um darin vorübergehend Informationen zu speichern. Jedes Programm sollte diese Dateien beim Beenden löschen, allerdings wird dies oft verabsäumt. Grundsätzlich findet man solche Dateien im Temporären Verzeichnis von Windows bzw. im Benutzerverzeichnis. Einige Programme, wie etwa Word, legen eine temporäre Datei in jenem Ordner an, in dem sich die zu bearbeitende Datei befindet.

Abhängig von den Einstellungen und dem verwendeten Betriebssystem, speichert der Windows Explorer Vorschaubilder von Bild- und Videodateien, die im Explorerfenster aufgelistet werden.

Windows-Auslagerungsdatei

Die Auslagerungsdatei von Windows ("win386.swp" unter Windows 9x, bzw. "pagefile.sys" unter Windows NT/XP) wird als virtueller Speicher verwendet. Das bedeutet, dass darin unter Umständen auch unverschlüsselte Passwörter und sonstige sensible Daten abgelegt sein können.

Ruhezustand

In der Datei "hiberfil.sys" wird der Speicherinhalt geschrieben, wenn der Computer in den Ruhezustand wechselt, um den Speicherinhalt ggf. danach wieder herstellen zu können. Auch hier wird der Inhalt des Speichers direkt in die Datei geschrieben. Dadurch können in dieser Datei mitunter auch sensible Daten unverschlüsselt abgelegt sein.

Zuletzt verwendete Objekte

Verwendete Dateien

Windows speichert die Liste der zuletzt verwendeten Dateien in der Registry unter dem Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ RecentDocs", sowie dessen Unterverzeichnisse.

Weiters sind im Benutzerverzeichnis, im Unterordner "Recent", Links zu den zuletzt verwendeten Dateien gespeichert.

Ausgeführte Programme

Wenn über das Startmenü > "Ausführen..." ein Programm gestartet wird, speichert Windows die eingegebene Befehlszeile in der Registry ab. Diese Liste ist im Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ RunMRU" gespeichert.

Geöffnete und gespeicherte Dateien

Eine Liste der zuletzt geöffneten oder gespeicherten Dateien ist unter dem Registry-Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ComDlg32 \ OpenSaveMRU" abgelegt.

Weiters wird eine Liste der zuletzt besuchten Dateien unter "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ComDlg32 \ LastVisitedMRU" geführt.

Gesuchte Dateien, Dateiinhalte und Computer

Windows speichert auch die letzten Suchabfragen nach Dateinamen, Dateiinhalten oder Computernamen. Diese Informationen sind ebenfalls in der Registry gespeichert.

Im Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ Search Assistant \ ACMru" befinden sich zwei Unterschlüssel. Im Unterschlüssel "5603" sind die zuletzt gesuchten Dateinamen und unter "5604" sind die zuletzt gesuchten Textstellen gespeichert.

Im Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Doc Find Spec MRU" können ebenfalls Suchabfragen gespeichert sein.

Die zuletzt gesuchten Computer sind im Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FindComputerMRU" gespeichert.

Da die Suchleiste des Internet Explorers auch beim normalen Explorer einsetzbar ist, können auch dort Informationen gespeichert sein:

Zuletzt gesuchte Dateien:
HKEY_CURRENT_USER \ Software \ Microsoft \Internet Explorer \ Explorer Bars \ {...CLSID...} \ FilesNamedMRU

Zuletzt gesuchter Text:
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Explorer Bars \ {...CLSID...} \ ContainingTextMRU

Zuletzt gesuchte Computer:
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Explorer Bars \ {...CLSID...} \ ComputerNameMRU

Unter "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Map Network Drive MRU" sind schließlich noch die verbundenen Netzlaufwerke angeführt.

Verwendete Dateien im Windows Media Player

Der Media Player von Windows speichert die zuletzt abgespielten Dateien im Registry-Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ MediaPlayer \ Player \ RecentFileList" ab.

Verwendete Microsoft Office-Dateien

Alle Office-Programme führen im Datei-Menü eine Liste der zuletzt geöffneten Dateien auf. Die Dateinamen sind im Registry-Schlüssel "HKEY_CURRENT_USER \ Software \ Microsoft \ Office", gefolgt von der verwendeten Office-Version und dem Programmnamen, in einem Unterschlüssel mit dem Namen "Recent Files" bzw. "Recent Files List" abgelegt.

Sonstige Programme

Nicht nur Windows und Office speichern die zuletzt verwendeten Dateien ab. Auch andere Programme, wir etwa WinZip oder diverse Texteditoren führen solche Listen mit den zuletzt benutzten Dateien.

Sonstiges

Office Metadaten

In Office-Dateien werden durch die einzelnen Office-Anwendungen viele Metadaten mit diversen Informationen gespeichert. Diese Informationen sind für die Funktionsweise des Dokuments nicht notwendig und können mitunter auch sensible Daten des Benutzers oder der Organisation enthalten. Microsoft bietet dazu ein Programm mit dem Namen "rhdtool.exe" an, das von Microsoft heruntergeladen werden kann. Mit diesem Tool ist es möglich, diese nicht benötigten Daten aus Office 2003 und Office XP Dokumenten zu entfernen. Als Betriebssystem ist Windows 2000 SP 4 oder Windows XP SP 1 erforderlich.

Windows NT Data Streams (ADS)

Das Dateisystem NTFS ermöglicht das Speichern von Daten in alternativen Data-Streams (ADS). Damit lassen sich Daten so in einer Datei verbergen, dass diese für den Windows Explorer nicht sichtbar sind. ADS werden z.B. von Windows dazu benutzt, um eine aus dem Internet herunter geladene Datei als solche zu markieren.

Normalerweise werden Daten in den unbenannten Datenstream einer Datei geschrieben. Mit dem Befehl "echo hello > test" wird das Wort "hello" in die Datei "test" geschrieben. Gibt man allerdings einen bestimmten Datenstream zur Datei an, wird "hello" nicht in die Datei selbst, sondern in den angegebenen Datenstream geschrieben. Mit "echo hello > test:mystream" wird das Wort "hello" in den Stream "mystream" geschrieben. Die Datei selbst bleibt unverändert. Mit dem Kommando "more < test:mystream" kann der Inhalt des Streams wieder abgefragt werden. (Das Kommando "type" kann nicht mit Datenstreams arbeiten, weshalb "more" verwendet werden muss.)

Lesen Sie mehr zum Thema alternative Datenströme.

Relevante Programme

Die folgenden Programme von Gaijin.at haben einen Bezug zu diesem Thema.

DrivePurge (Freeware, portabel)
DrivePurge ist ein Programm zur System- und Datenträgerbereinigung.
eMule MET Viewer (Freeware, portabel)
Zeigt die Informationen aus der Datei "known.met" des Programms eMule an. Die Daten können in eine CSV-Datei exportiert werden, welche z.B. mit Microsoft Excel geöffnet werden kann.
Historian (Freeware, portabel)
Liest Verlaufsdateien, Favoriten, Cookies und sonstige Dateien der gebräuchlichsten Webbrowser aus und exportiert diese in eine mit Microsoft Excel kompatible CSV-Tabelle oder in eine frei anpassbare Textdatei.
RegistryReport (Freeware, portabel)
Ermittelt aus den Windows NT Registry-Dateien "SYSTEM", "SOFTWARE", "SAM" und "NTUSER.DAT" Informationen über das Betriebssystem, die installierte Software, die Benutzerinformationen und vieles mehr.

Beta-Bereich | Webmaster | Übersetzer | Unterstützung | Kontakt & Nutzungsbedingungen