Weiteres zur Registry und zur APL

Notizen_Forensiche_Analyse_S3.md

@@ -208,6 +208,26 @@ file /tmp/system
 # Es gibt mehrere ntuser.dat, z. B. bei User Default
 # Dieser ist ein Template User.
 
+# Lokale Win Accounts sind heute selten
+ophcrack &
+# SAM und SYSTEM per -> Load
+# Crack per Rainbow table
+
+# in der APL soll System virtualisiert werden. Als Nachweis: eigenes Desktop Bild, Datei abgelegt oder so was (Originalität). 
+
+# Es liegt _k_ein Lokal-Konto vor
+# * utilmgr.exe durch cmd.exe austauschen, cmd auf beim Login Dialog nach dem Boot
+
+# Regripper plugin listing
+regripper -l | grep -i ver
+# zur Bestimmung winver aus dem [Software] Hive
+# ServicePack, BuildRelease, RegisteredOwner
+# externe USB Platten sind keine USB Devices bei MS
+regripper -p winver -r # ? /tmp/system # 
+
+# es gibt verschiedene USB Plugins
+# Verwendung von EventLogs ist ebenfalls ok
+# in der Registry stehen auch MAC Adressen <-> Access Point Verbindungen, was relevant sein kann
 ```