@phdthesis{Eble2019, type = {Master Thesis}, author = {Jonas Eble}, title = {Windows Registry Forensik - Analyse von Shellbags im Rahmen digitalforensischer Untersuchungen}, address = {Offenburg}, pages = {IV, 86}, year = {2019}, abstract = {Digitalforensische Untersuchungen sind heute ebenso wichtig wie herk{\"o}mmliche forensische Untersuchungen. Neben leicht sichtbaren Spuren wie Internethistorie oder Suchmaschinenanfragen befinden sich auch in der Windows Registry verwertbare Spuren. Zu diesen Spuren z{\"a}hlen auch die Shellbags. Sie werden vom System genutzt, um Ordnereinstellungen zu speichern. Diese Arbeit beleuchtet neben den Grundlagen digitaler Forensik und der Windows Registry diese Shellbags. Es wird untersucht, welche Aktionen am System unter Windows 7 und Windows 10 Shellbags erzeugen oder diese ver{\"a}ndert. Um dieses Ziel zu erreichen, wird ein Katalog an Experimenten durchgef{\"u}hrt. Dieser beinhaltet unterschiedliche Aktionen am System, vom Erstellen bis zum L{\"o}schen eines Ordners. Dabei wird der Zustand der Shellbags in Registry-Abbildern vor und nach der Aktion verglichen und somit untersucht, welche Ver{\"a}nderungen zu erkennen sind. Die Ergebnisse werden dokumentiert und interpretiert. Somit wird eine {\"U}bersicht {\"u}ber die Auswirkungen dieser Aktionen auf die Shellbags erstellt, an dem sich orientiert werden kann. Abschlie{\"s}end wird in einer prototypischen Implementierung ein eigenes Tool in Python entwickelt, das Shellbags aus der Registry auslesen und ausgeben kann.}, language = {de} }