Slidecast Yves Van Stappen & Kevin Stobbelaar. Taak 3 Communicatievaardigheden

1. Terughalen van gegevens met hulp van het register

2. Het register doet meer dan je denkt. Kevin Stobbelaar & Yves Van Stappen register = bron van informatie tussenbewerkingen voor CPU instellingen van gebruikers waarden voor applicaties terughalen van bestanden

6. Overzicht van structuur Kevin Stobbelaar & Yves Van Stappen Key: select MTIME Security record Subkeylijst: CurrentControlSet Subkey: Control Value Value Hive: HKEY_LOCAL_MACHINE Hive: Software

7. Verwijderen uit het register. Kevin Stobbelaar & Yves Van Stappen Verwijderen van key : subkeylijst wordt overgeschreven => geen link naar subkey subkeys aanwezig = overschrijven van MTIME security record verwijderd

8. Verwijderen uit het register. Verwijderen van key : Kevin Stobbelaar & Yves Van Stappen Parentkey Subkey Valuelist Value Value

9. Verwijderen uit het register. Verwijderen van key : verwijderen van parentkey = links naar valuelist intact Kevin Stobbelaar & Yves Van Stappen Parentkey Subkey Valuelist Value Value

10. Verwijderen uit het register. subkeylijst wordt herschreven Verwijderen van subkey : Kevin Stobbelaar & Yves Van Stappen A B C D E A C D E E A C E E E A C E E E C C E E E Nadat B verwijderd is Nadat D verwijderd is Nadat E verwijderd is Nadat A verwijderd is

11. Verwijderen uit het register. Verwijderen van value . valuelist herschreven Kevin Stobbelaar & Yves Van Stappen

12. Bestanden terughalen. Kevin Stobbelaar & Yves Van Stappen Werkt via algoritme : 1) zoeken naar intacte waarden 2) intacte waarden wegschrijven 3) reconstructie met behulp van die waarden

13. Bestanden terughalen. Illustratie. Nieuwe keys na aanmaken van nieuw account. Kevin Stobbelaar & Yves Van Stappen Path Type MTIME /SAM/Domains/Account/users/00003EC KEY 2008-05-04 23:43:19 /SAM/Domains/Account/users/00003EC/F BINARY N/A /SAM/Domains/Account/users/00003EC /V BINARY N/A /SAM/Domains/Account/users/Names/Kobayashi KEY 2008-05-04 23:43:19 /SAM/Domains/Account/users/Names/Kobayashi 0x03EC N/A

14. Bestanden terughalen. Illustratie. Resterende keys na verwijderen account. Kevin Stobbelaar & Yves Van Stappen Path Type MTIME /SAM/SAM/Domains/Account/users/Names/Kobayashi KEY 2008-05-04 23:43:19 /SAM/SAM/Domains/Builtin/Aliases/members/Kobayashi KEY 2008-05-04 23:43:19