715842

Windows: Ein notorischer Datensammler

Windows ist ein notorischer Datensammler. Haben Sie wirklich alle Spuren Ihrer Arbeit getilgt, wenn Sie in den bekannten Verzeichnissen für temporäre Internet-Dateien, Cookies und zuletzt geöffnete Dokumente aufgeräumt haben? PC-WELT zeigt Ihnen, wie Sie wirklich alle Spuren beseitigen können.

Anforderung

Fortgeschrittener

Zeitaufwand

Mittel

Problem:

Windows ist ein notorischer Datensammler. Haben Sie wirklich alle Spuren Ihrer Arbeit getilgt, wenn Sie in den bekannten Verzeichnissen für temporäre Internet-Dateien, Cookies und zuletzt geöffnete Dokumente aufgeräumt haben?

Lösung:

Windows hinterlässt in der Registry weitere Informationen darüber, was Sie seit der Installation des Systems über das Start-Menü und die Favoriten aufgerufen haben. Wie groß die heimliche Sammelwut von Windows ist, offenbart ein Blick mit Regedit auf die Untereinträge von

"Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist".

Hier finden sich zwei Schlüssel mit hexadezimalen Bezeichnungen, die jeweils einen Unterschlüssel "Count" enthalten.

In "Count" finden sich Protokolldaten dazu, welche Verknüpfungen über das Start-Menü, den Desktop und die Favoriten gestartet wurden. Windows lässt sich bei diesen Registry-Einträgen allerdings nicht so ganz einfach in die Karten schauen - sie liegen in verschlüsselter Form vor. Sie können dennoch herausfinden, welche Spuren Ihre Aktionen am PC hinterlassen haben, bevor Sie gegebenenfalls diese Einträge löschen.

Auf den ersten Blick erscheinen Zeichenfolgen wie "R:\\cpjryg.rkr" wie Datensalat, aber die Chiffrierung der Daten ist in Wahrheit äußerst simpel: Es handelt sich nur um die Caesar-Verschlüsselung, die auf Julius Caesar zurückgehen soll. Wie schon der römische Kaiser begnügt sich Windows damit, einen Buchstaben um eine bestimmte Anzahl von Stellen im Alphabet nach vorn zu verschieben. Das Alphabet wird dabei als geschlossener Kreis betrachtet, nach "Z" beginnt die Reihe wieder bei "A".

Windows verschiebt in diesem Fall die Buchstaben um 13 Stellen: "R:\\cpjryg.rkr" bedeutet demnach "E:\\pcwelt.exe". Eine Besonderheit dieser als "ROT13" (von "Rotate 13") bekannten Verschlüsselung ist, dass Sie bei einem Alphabet mit 26 Buchstaben bei nochmaliger Verschlüsselung ebenfalls wieder den Klartext erthalten. Andere Zeichen wie Umlaute, Ziffern und Sonderzeichen bleiben übrigens unverschlüsselt.

Doch auch mit diesem Wissen bleibt es mühsam, die Einträge unter "UserAssist" manuell zu dechiffrieren. Das Visual-Basic-Script ROT13.VBS nimmt Ihnen diese Aufgabe ab. Um einen einzelnen Textbaustein aus der Registry zu dechiffrieren, markieren Sie den Eintrag, drücken <F2> zum Umbenennen und dann <Strg>-<C>. Starten Sie dann ROT13.VBS, fügen Sie den Text mit <Strg>-<V> in das Eingabefeld ein, und bestätigen Sie mit "OK". Das Script präsentiert Ihnen das entschlüsselte Ergebnis in einem neuen Fenster.

Sie können mit ROT13.VBS aber auch umfangreiche Textdateien entschlüsseln, etwa die exportierten Registry-Dateien des Schlüssels "UserAssist". Ziehen Sie dazu einfach mit der Maus die Textdatei auf das Script. Anschließend erstellt ROT13.VBS aus der übergebenen Datei im selben Verzeichnis eine neue, entschlüsselte Textdatei. Der Name der neuen Datei beginnt automatisch mit "R13_". Je nach Rechenleistung und Textumfang kann die Berechnung des Klartextes einige Sekunden dauern, Wordpad zeigt das Ergebnis an.

Wenn Sie die verräterischen Registry-Einträge unter "UserAssist" loswerden möchten, müssen Sie diese manuell löschen. Die Löschaktion hat keinerlei negativen Auswirkungen auf das System. Windows schreibt die Registry-Einträge unter "UserAssist" allerdings bei jedem Systemstart neu, Sie müssten die Daten also regelmäßig löschen. Automatisch erledigt das unsere Batchdatei NOASSIST.BAT bei jedem Systemstart für Sie, wenn Sie sie im Autostart-Ordner unterbringen.

Download von ROT13.VBS

Download von NOASSIST.BAT

0 Kommentare zu diesem Artikel
715842