Gefällt Ihnen ein Programm, Script oder Online-Tool auf Gaijin.at?
Helfen Sie mit das Angebot weiterhin kostenlos anzubieten.

Letzte Zugriffe auf Wechseldatenträger

Windows NT speichert im Registry-Schlüssel "HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ StreamMRU" jene Verzeichnisse auf Wechseldatenträgern, auf die zuletzt zugegriffen wurde. Dies können bis zu 200 Einträge mit jeweils mehreren Verzeichnissen sein.

Die Reihenfolge dieser Einträge wird durch den Eintrag "MRUListEx" festgelegt. Der Inhalt dieses Wertes ist als Binärwert gespeichert und beinhaltet die Namen der Einträge, welche Nummern von 0 bis 199 sind. Diese Nummern sind als DWords gespeichert, wobei der erste DWord-Wert den neuesten Eintrag darstellt und der vorletzte Eintrag den ältesten. Als letzter Wert ist 0xFFFFFFFF eingetragen, welcher scheinbar nur als Terminator dient.

Die Daten in den einzelnen Einträgen sind ebenfalls als Binärwerte gespeichert. Nicht alle eingetragenen Informationen sind relevant bzw. bekannt. Die wichtigsten ermöglichen jedoch eine Rekonstruktion der Verzeichnisse, auf die der Benutzer zugegriffen hat, inklusive mehrerer Zeitangaben der einzelnen Verzeichnisse.

Die Daten sind in mehrere Bereiche aufgegliedert und sind unterschiedlich lang. Am Beginn, mit einer Länge von 45 Byte, ist ein Bereich, der in jedem Eintrag vorhanden ist. Dort ist unter anderem das Laufwerk angegeben, auf das sich die nachfolgenden Informationen beziehen. Der Laufwerksbuchstabe beginnt beim 24. Byte und ist 3 Byte lang (Laufwerksbuchstabe, Doppelpunkt und Schrägstrich). In diesem Beispiel ist es das Laufwert "I:\".

-

Ab dem 46. Byte beginnen die einzelnen Verzeichnisinformationen. Diese sind Blockweise abgespeichert, wobei das erste Word eines jeden Informationsblocks die Länge des Blocks angibt. Im folgenden Screenshot ist der erste Informationsblock hervorgehoben. Die Länge ist aus dem ersten Word (0x3C00 bzw. 60 Byte) ersichtlich.

-

Das Word ab der 9. Position ist das Änderungsdatum des betreffenden Verzeichnisses - hier "Dateien" - welches im DOS-Format angegeben ist. Gleich danach folgt ein weiteres Word, das die Änderungszeit, ebenfalls im DOS-Format, angibt. Alle Zeitangaben sind in der UTC-Zeit (GMT) ausgedrückt!

Ab der 15. Position ist der 8.3- bzw. DOS-Name des betreffenden Verzeichnisses angegeben. Dieser wird mit mindestens einem Null-Byte-Zeichen (0x00) abgeschlossen. Im Anschluss folgen 4 unbekannte Word-Werte, wovon der letzte immer 0xEFBE zu sein scheint.

-

Das erste Word stellt das Erstellungsdatum, das zweite Word die Erstellungszeit des Ordners dar. Wieder sind die Angaben im DOS-Zeitformat gespeichert. Das dritte und vierte Word geben das letzte Zugriffsdatum und die letzte Zugriffszeit an.

Nach einem DWord-Wert mit unbekannter Bedeutung folgt der lange Name des Verzeichnisses, gespeichert im Unicode-Format. Der Dateiname ist mit einem Null-Byte-Zeichen (0x00) terminiert.

Im Anschluss an einen Block kann, wie hier, ein weiterer Datenblock folgen, oder die Daten werden mit dem Word 0x0000 abgeschlossen. Dies würde bedeuten, dass der folgende Datenblock die Länge 0 hat und somit, dass keine weiteren Daten mehr vorhanden sind.

-

Fügt man nun die Verzeichnisse der Reihe nach zusammen, kommt folgender "Verlauf" zum Vorschein:

I:\
I:\Dateien
I:\Dateien\WEB

Wenn die Protokollierung der letzten Zugriffszeit auf Dateien im Betriebssystem deaktiviert wurde, wird die zuletzt aktualisierte Zugriffszeit (vor dem Deaktivieren dieser) gespeichert. In diesem Fall kann man sich mit den Einträgen im Schlüssel "HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Streams" weiterhelfen. In diesem werden bei der Aktualisierung eines Eintrages Unterschlüssel mit derselben Nummer, wie die Einträge nummeriert sind, aktualisiert. Durch die Ermittlung der Änderungszeit dieser Unterschlüssel kann auch bei deaktivierter Zugriffszeitprotokollierung die tatsächliche Zugriffszeit auf die Verzeichnisse ermittelt werden.

Beta-Bereich | Webmaster | Übersetzer | Unterstützung | Kontakt & Nutzungsbedingungen