Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Sunday, August 2, 2009

Letzte Zugriffe auf Wechseldatenträger

Source

Windows NT speichert im Registry-Schlüssel "HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ StreamMRU" jene Verzeichnisse auf Wechseldatenträgern, auf die zuletzt zugegriffen wurde. Dies können bis zu 200 Einträge mit jeweils mehreren Verzeichnissen sein.
Die Reihenfolge dieser Einträge wird durch den Eintrag "MRUListEx" festgelegt. Der Inhalt dieses Wertes ist als Binärwert gespeichert und beinhaltet die Namen der Einträge, welche Nummern von 0 bis 199 sind. Diese Nummern sind als DWords gespeichert, wobei der erste DWord-Wert den neuesten Eintrag darstellt und der vorletzte Eintrag den ältesten. Als letzter Wert ist 0xFFFFFFFF eingetragen, welcher scheinbar nur als Terminator dient.
Die Daten in den einzelnen Einträgen sind ebenfalls als Binärwerte gespeichert. Nicht alle eingetragenen Informationen sind relevant bzw. bekannt. Die wichtigsten ermöglichen jedoch eine Rekonstruktion der Verzeichnisse, auf die der Benutzer zugegriffen hat, inklusive mehrerer Zeitangaben der einzelnen Verzeichnisse.
Die Daten sind in mehrere Bereiche aufgegliedert und sind unterschiedlich lang. Am Beginn, mit einer Länge von 45 Byte, ist ein Bereich, der in jedem Eintrag vorhanden ist. Dort ist unter anderem das Laufwerk angegeben, auf das sich die nachfolgenden Informationen beziehen. Der Laufwerksbuchstabe beginnt beim 24. Byte und ist 3 Byte lang (Laufwerksbuchstabe, Doppelpunkt und Schrägstrich). In diesem Beispiel ist es das Laufwert "I:\".

-

More

No comments: