From aef881e78a3cec4c4ce4d7c65eb928cafc75c08b Mon Sep 17 00:00:00 2001
From: marius <marius@because-security.com>
Date: Sat, 11 Nov 2023 14:20:07 +0100
Subject: [PATCH] Weiteres zur Registry und zur APL

---
 Notizen_Forensiche_Analyse_S3.md | 20 ++++++++++++++++++++
 1 file changed, 20 insertions(+)

diff --git a/Notizen_Forensiche_Analyse_S3.md b/Notizen_Forensiche_Analyse_S3.md
index 7112bc7..125ee56 100644
--- a/Notizen_Forensiche_Analyse_S3.md
+++ b/Notizen_Forensiche_Analyse_S3.md
@@ -208,6 +208,26 @@ file /tmp/system
 # Es gibt mehrere ntuser.dat, z. B. bei User Default
 # Dieser ist ein Template User.
 
+# Lokale Win Accounts sind heute selten
+ophcrack &
+# SAM und SYSTEM per -> Load
+# Crack per Rainbow table
+
+# in der APL soll System virtualisiert werden. Als Nachweis: eigenes Desktop Bild, Datei abgelegt oder so was (Originalität). 
+
+# Es liegt _k_ein Lokal-Konto vor
+# * utilmgr.exe durch cmd.exe austauschen, cmd auf beim Login Dialog nach dem Boot
+
+# Regripper plugin listing
+regripper -l | grep -i ver
+# zur Bestimmung winver aus dem [Software] Hive
+# ServicePack, BuildRelease, RegisteredOwner
+# externe USB Platten sind keine USB Devices bei MS
+regripper -p winver -r # ? /tmp/system # 
+
+# es gibt verschiedene USB Plugins
+# Verwendung von EventLogs ist ebenfalls ok
+# in der Registry stehen auch MAC Adressen <-> Access Point Verbindungen, was relevant sein kann
 ```