724794

IE-Datenspeicher analysieren

07.07.2006 | 03:13 Uhr |

Das stört: Wer etwas über das Internet bestellt, Foren beitritt oder über eine Suchmaschine recherchiert, muss Daten in Formulare eintragen. Standardmäßig fragt Sie der Internet Explorer, ob er Benutzernamen und Kennwörter speichern soll. Über „Extras, Internetoptionen, Inhalte, AutoVervollständigen“ können Sie festlegen, dass der Browser auch andere Formulardaten sichern soll. Dazu aktivieren Sie die Klickbox vor „Formulare“. An der gleichen Stelle (de)aktivieren Sie auch die Speicherung von Benutzernamen, Kennwörtern und Web-Adressen.

.Diese Funktionen sind praktisch, weil sie umständliche Eingaben abkürzen. Allerdings liegen schnell große Datenmengen in der Registry, die sehr viel über Ihre Web-Aktivitäten verraten.

Weg damit: Der IE lässt nur die Wahl zwischen allem und nichts. Sie können das Speichern ganz und gar unterbinden und die vorhandenen Daten über den Dialog „Einstellungen für Auto-Vervollständigen“ komplett beseitigen. Auch die entsprechende Option in unserem Tool :pcwCleaner löscht grundsätzlich alles.

Einzelne Daten gezielt zu entfernen sieht der IE nicht vor. Es gibt auch keine Option, die Infos zu lesen, um zum Beispiel ein Kennwort für eine Website herauszufinden.

Zugang mit Bordmitteln:

Die Daten liegen verschlüsselt in der Registry, damit andere Benutzer oder der Administrator die Inhalte nicht ermitteln können. Zudem besitzt der zugehörige Registry-Zweig „Hkey_Current_User\Software\Microsoft\Protected StorageSystem Provider“ nur Leserechte für den Benutzer „System“. Der weniger privilegierte Standardbenutzer sieht hier nur einen Schlüssel mit seiner User-ID, aber keine Unterschlüssel.

Wer sich den Schlüssel genauer ansehen will, muss Regedit aus einem Admin-Konto über die Kommandozeile mit

at hh:mm /interactive regedit.exe

starten. At.EXE ist ein Zeitplaner. Mit „hh:mm“ geben Sie die Uhrzeit in Stunden und Minuten an, zu der Regedit starten soll, beispielsweise die aktuelle Systemzeit plus eine Minute. Warten Sie ab, bis es soweit ist, und der Registry-Editor öffnet sich nun im System-Kontext, das heißt mit maximalen Rechten. Wenn Sie gerade als ein Benutzer angemeldet sind, der nicht zur Gruppe der Administratoren gehört, müssen Sie folgende Befehlszeile verwenden:

runas /user:<Name> "at hh:mm/interactive regedit.exe"

Mit Runas führen Sie eine Anwendung unter einem anderen Benutzerkontext aus. Für „<Name>“ tragen Sie den Anmeldenamen eines Benutzers mit administrativen Rechten ein. Nach Bestätigung mit <Return> müssen Sie dessen Kennwort eintippen. Ist Regedit mit System-Rechten gestartet, gehen Sie auf „Hkey_Users\<User-ID>\Software\Microsoft\Protected Storage System Provider“.

„<User-ID>“ ist die 44 Zeichen lange ID des aktuell angemeldeten Benutzers. Unter „Hkey_Users“ gibt es mehrere IDs, aber nur eine mit 44 Zeichen, die sofort auffällt. Unterhalb von „ProtectedStorage System Provider“ liegen mehrere Schlüssel, welche die Outlook-Express- und MSN-Kontoinformationen, FTP-Kennwörter und Formulardaten des IE speichern. Unter „Data\e161255a-37c3-11d2-bcaa-00c04fd929db“ liegt alles, was zum IE gehört.

Der Schlüssel„q:StringData“ beispielsweise enthält Daten für die Autovervollständigung, die Sie in die Suchmaske von Google.de eingegeben haben. Der IE speichert allerdings nicht die zugehörige Web-Adresse – der Browser trägt vielmehr die hier vorhandenen Daten überall im Web automatisch ein, wo das Eingabefeld den Namen „q“ (Query) trägt.

Leichter mit PC-WELT-Tool: Den einfacheren Zugang zum Schlüssel„Protected Storage System Provider“ bietet :pcwProtStorage.EXE. Es entschlüsselt die Daten und zeigt die Formulareingaben und Kennwörter im Klartext an – das ist auch praktisch, wenn Sie ein Passwort vergessen haben oder es in einem anderen Browser brauchen. pcwProtStorage benötigt keine Installation und verändert keine Daten auf der Festplatte. Sie starten es unter dem Benutzerkonto, dessen Daten Sie auslesen wollen. In der Baumansicht links sehen Sie die Rubriken des „System Protected Storage“.

„InfoDelivery“ enthält Daten, die Sie beim Abonnieren von Web-Seiten über den IE angeben. „Identification“ ist der Speicher für Outlook-Kontoinformationen und „IdentityMgr“ der für Outlook-Identitäten (Mehrbenutzer-Konfiguration). Unter „MS IE FTP Passwords“ und „MSN“ stehen die Verbindungsdaten für FTP- und Webdav- beziehungsweise MSN-Messenger-Verbindungen, und der Schlüssel „Internet Explorer“ enthält Formulardaten des IE. Nach einem Klick auf die jeweiligen Einträge sehen Sie die entschlüsselten Daten rechts unten in einer hexadezimalen Darstellung und darüber – soweit möglich – im Klartext. Über den Kontextmenüpunkt „Löschen“ entfernen Sie einzelne Einträge aus der Registry. Formulardaten bestehen aus zwei Einträgen, beispielsweise „q:StringData“ und„q:StringIndex“ – löschen Sie immer beide Einträge.

Das war ein kurzer Ausschnitt aus unserem Beitrag "Windows aufgeräumt" aus der PC-WELT 8/2006.

0 Kommentare zu diesem Artikel
724794