Registry-Bericht
WinHex kann über den Befehl "Bericht erzeugen" im Rechts-Klick-Menü des Registry-Viewer für die geöffneten Hives einen Bericht im HTML-Format erstellen, der potentiell relevante Schlüssel aus der Registry mit ihren Werten auflistet. Die Registry-Dateien müssen ihren Originalnamen haben, sonst kann der Bericht u. U. nicht erstellt werden. Die zu extrahierenden Schlüssel sind in Textdateien wie den mitgelieferten "Reg Report *.txt" definiert, die nach eigenen Bedürfnissen angepaßt oder erweitert werden können.
Standard tables have 4 columns: description, extracted value, registry path (provided as a tooltip), and last modification date of the corresponding key. The dates are displayed in gray for values that are not the only values in their respective key, as a visual aid to remind the reader that they are not the modification dates of the values themselves.
Free space in registry hives can be analyzed with the report definition file "Reg Report Free Space.txt". The free space can be as large as several MB, especially as a consequence of the use of virus scanners and registry cleaning programs. Deleted registry values are now highlighted in the report in red color.
Also registry value slack has a relevant size in NTUSER.DAT hives. This fact is exploited with 2 measures:
1) If the slack contains text strings, it will be output in the registry report (in green). This new feature can optionally be turned off the registry viewer context menu.
2) For values that contain item lists (i.e. are binary) you can use the "Reg Report Free Space.txt" definitions to output registry report will output lists of filenames with timestamps in green. The first timestamps is an access date, the second one is a creation date. If no timestamps can be output, these are artifacts from "RecentDocs".
Das Format der Einträge in "Reg Report *.txt"
(Typkürzel) (Tabulator) (Schlüsselpfad) (Tabulator) (Beschreibung) (Zeilenvorschub)
Typkürzel:
?? Definition für beliebiges Windows
NT Windows bis einschließlich XP
VT Windows ab Vista
** Neue Funktion (ohne absolute Pfade)
FR Abfrage im freien Speicher des Hives
Schlüsselpfad:
Kompletter Pfad des Registrierungsschlüssels
HKLM entspricht HKEY_LOCAL_MACHINE
HKCU entspricht HKEY_CURRENT_USER
Wenn ein "*" als Platzhalter im letzten Teilpfad verwendet wird, werden alle Pfade auf dieser Verzweigungsebene und allen tieferen Verzweigungsebenen mit ihren Werten in dem Bericht mitaufgelistet.
Beispiel:
NT HKLM\Software\Microsoft\Windows\CurrentVersion\* der gesamte Windows-Unterzweig
Wenn ein bestimmter Wert von Interesse ist, der in allen Unterschlüsseln eines bestimmten Schlüssels vorkommt, dann können die Unterschlüssel abermals durch ein "*" ersetzt werden und der konkrete Wert dahinter angegeben werden.
Der erzeugte Bericht enthält jeweils den Schlüsselpfad mit der zugehörigen Zeitangabe der letzten Änderung, den Dateinamen des Hives, aus dem dieser Schlüssel ist, die Beschreibung aus "Reg Report *.txt" und den Wert.
Das Feld "Beschreibung" kann am Ende eine Anweisung enthalten, die mit einem %-Zeichen eingeleitet wird. Folgt dem Prozent-Zeichen eine Zahl n, wird im Bericht das n-te Element des Schlüsselpfades an die Beschreibung angehängt. Das kann sehr nützlich sein, wenn der Pfad und nicht der Wert (oder nicht nur der Wert) die relevanten Informationen enthält. Folgt dem Prozent-Zeichen ein Buchstabe, wird der Wert bevorzugt als der Datentyp interpretiert, für den der Buchstabe steht. Derzeit definiert sind
%f Windows FILETIME Zeitstempel
%e Epoche (Unix) Zeitstempel
%E Epoche8 (Unix) Zeitstempel als QWORD.
%T Windows Systemtime Zeitstempel
%s ANSI-ASCII nullterminiert
%S UTF-16-Zeichenkette nullterminiert
%b binäre Daten nicht als Zeichen interpretieren (REG_BINARY)
%P Windows PIDL-Datenstruktur
%I ItemPos-Datenstruktur (für Shell Bag, Desktop-Shortcuts u. a.)
%B konditional: wenn Wert TRUE
%F konditional: wenn Wert FALSE
%- kein Empty-Mode
%+ Rekursion des Teilbaumes
%i Wert ohne Unterscheidung von Groß- und Kleinschreibung
%d nur gelöschte Werte
Man kann auch z. B. die Mischkonstruktion %10f verwenden. Die Zahl muß zuerst erscheinen.
// am Anfang einer Zeile bewirkt, daß sie bei der Auswertung ignoriert wird.
## am Anfang einer Zeile gibt erläuternden Test in den Bericht aus.
Weitere Ausgaben
In einer zweiten Phase der Erzeugung des Registry-Berichts werden zusätzliche Daten ausgewertet und in übersichtlichen Tabellen am Ende der HTML-Datei ausgegeben. Die Vorgaben in der Definitionsdatei, die zu der zweiten Stufe gehören sind mit "Dummy" gekennzeichnet. Dies bewirkt, daß während der ersten Phase keine Ausgaben entstehen. Will man statt dessen nur die Ausgaben der ersten Stufe der Auswertung erhalten, muß die Bezeichnung des Definitionseintrags nur von "Dummy" auf etwas anderes geändert werden.
Die Tabelle "Attached devices by serial number" wird nach dem im Buch von Harlan Carvey in Kapitel 4 beschriebenen Algorithmus erstellt. Weiterhin gibt es die Tabellen "Partitions by disk signature", "Windows portable devices", "Drivers installed", "File systems installed", "Services installed", "Networks" und "Network cards".
Another table is called "Browser Helper Objects", compiled with data from the hives NTUSER.DAT and SOFTWARE, about browser usage. "External Memory Devices" is a table which can be retrieved from Software hives of Windows Vista and later that lists external media with access timestamps, hardware serial number, volume label, volume serial number and volume size (size often only under Vista). Select the definition file "Reg Report Devices.txt" to get the table.