"Ik wil de schijf, met installatie, in een ander systeem zetten. Maar hoe inspecteer ik de registry bijvoorbeeld? "

Lijkt me niet handig. Altijd een schijf clonen. Vervolgens moet je gaan kijken waar alles wordt opgeslagen. registry is een bestand wat je met bepaalde tools kunt uitlezen. zelfde geld voor internet history etc.. etc.. Je kunt dus alles achterhalen wat je wil aangezien dit gewoon ergens opgeslagen is, mits het niet versleuteld is.

Ik ben zelf geen forensic, dus iemand anders moet je verder helpen met de tools en methodieken.

Inderdaad worden bestanden aangepast en datums gewijzigd, wanneer de machine wordt opgestart. Inderdaad moet er een exacte kopie worden gemaakt, anders geldt het niet meer als bewijsmateriaal. Als het om strafbare feiten gaat, dan zou ik aangifte doen en het onderzoek aan de politie over laten.

je kan het registry bekijken door naar 'Uitvoeren' te gaan om vervolgens REGEDIT in te tikken.

Ik moet zeggen dat dingen als al je tijdelijke bestanden wissen niet werkt. Wil je helemaal geen sporen achter laten dan moet je een Live CD gebruiken. Windows vervuilt net zoals ieder besturingssysteem heel je pc met gigantische massa's tijdelijke bestanden en bij het klonen van een harde schijf gaan deze allemaal over naar de andere harde schijf.

Wil je niet dat je bestanden uitgelezen kunnen worden neem dan TrueCrypt. Een andere manier is er niet.

Nu vraag ik me ook af of het klonen van een harde schijf wel werkt met een Windows installatie aangezien windows meerdere punten controleert om te bepalen of de installatie overeenkomt met de licentie of niet.

maak met dd onder linux een (bit)copie van de orginele harddisk. Je hebt dan een 1 op 1 image en die kan je op je gemak doorzoeken op wat je wilt en waarmee je wilt zonder dat je het orgineel verknalt als er iets fout gaat.

Hoe je een copie met dd maakt kan je op etterlijke pagina's op Internet terugvinden.

Let wel een beetje op met dd. dd is een krachtige utility onder unix maar dat betekend ook dat als je het verkeerd doet, je de data op de orginele harddisk kan verknallen.

maak met dd onder linux een (bit)copie van de orginele harddisk. Je hebt dan een 1 op 1 image en die kan je op je gemak doorzoeken op wat je wilt en waarmee je wilt zonder dat je het orgineel verknalt als er iets fout gaat.

Hoe je een copie met dd maakt kan je op etterlijke pagina's op Internet terugvinden.

Let wel een beetje op met dd. dd is een krachtige utility onder unix maar dat betekend ook dat als je het verkeerd doet, je de data op de orginele harddisk kan verknallen.

Zo als hier boven vermeld, indien dit om iets serieus gaat; niet aankomen en over laten aan gespecialiseerd en gecertificeerd bedrijf.
Als het voor de fun is kan je een kopietje maken en daar op een beetje rotzooien met verschillende tools.

Gebruik in plaats van dd onder linux anders clonezilla (ff googlen). Clonezilla is een bootable CD gebaseerd op dd maar met een handige gui er om heen.

Hang de harde schijf aan een andere computer met bijvoorbeeld een usb-IDE/SATA bridge (liefst met een write blocker, maar daar is wat lastiger aan te komen). Maak daarna een image. Dat kan met bijvoorbeeld dd (zelfs onder Windows te gebruiken als je de UNIX-tools installeert), maar ook met gratis tools, zoals linen (van encase). Het image kun je mounten, en dan bijvoorbeeld op je gemak zoeken met een gratis tool zoals AccessData RegistryViewer. Met regedit kan het ook, maar dat kost iets meer werk. Er zijn documenten beschikbaar waarin voor forensisch onderzoek wordt uitgelegd welke informatie waar in de registry is terug te vinden.

Indien dit voor juridisch onderzoek betreft. HANDEN AF! en justitie inschakelen.
Alleen al doordat je met je handen eraan zit kan dit het onderzoek al dwarsbomen.

Indien het om een gebruikertje gaat dat die wat illegale dingetjes doet niet conform de interne gedragscode...(moet de gebruiker wel geattendeerd zijn dat er een interne gedragscode c.q. sec. policy is)

Clonen en met de cloon vd harddisk verder werken ...

dus ff hd eruit dat gaat bij een laptop vrij makkelijk ff in zon usb kast stoppen en clonen op een 2 andere hd's en met de cloon verder werken op een andere identieke laptop waar je hem opstart om vanuit het os zelf te kijken en de andere cloon gebruik je voor onderzoek vanuit bv linux zonder dat je het os geboot had.

http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=5455505&url=http%3A%2F%2Fieeexplore.ieee.org%2Fiel5%2F5454173%2F5454428%2F05455505.pdf%3Farnumber%3D5455505

registry carving... dat gaat veel verder dan alleen maar ff door de registry kijken vanuit je windows...maar zoals gezegd, alleen op een image en alleen indien het organisatorische proces ook op orde is en je ook daadwerkelijk mag onderzoeken. Dan komt de vraag of je het zelf kunt. Kennelijk is daar het antwoord 'nee' op. Laat het dan iemand anders doen. Er zijn partijen voor die jij ook wel kent.

Nooit en te nimmer zonder writeblocker aan de harde schijf komen. De originele harde schijf moet intact blijven voor verder onderzoek. Immers kan het zijn dat een juridische vervolgonderzoek kan plaats vinden.
Voordat je de schijf uitbouwt moet je foto's nemen van de schijf zodat men ten alle tijde kan zien wat de serienummers zijn.

Al deze gegevens schrijf je natuurlijk op met uiteraard vermelding van datum en tijd.
Een writeblocker kun je al kopen bij http://www.harddisk.nl/prodlijst.odb?sortgroep=HD_WT_WB.
Met deze kan je dan een veilige 1 op 1 kopie maken. Gebruik officiële forensische software zoals FTK voor verder onderzoek.
Beschrijf continue wat je doet. Immers kan het zijn dat je later een verklaring voor een officiële instantie zou moeten kunnen afleggen. Je kan ook andere software voor specifieke gedeeltes van het onderzoek gebruiken. Beschrijf deze nauwkeurig.

Maar bovenal moet de organisatie zwart op wit gaan verklaren wat het onderzoeksdoel is. Dit is de richting namelijk die je onderzoekt en bepaald of men "schuldig" of "onschuldig" is aan de ten laste gelegde oorzaak. Alleen bij wettelijke overtredingen kan men van het onderzoeksdoel afwijken. Uiteraard die je wel terstond het management of de hoogte te brengen. Ook dit wordt allemaal gedocumenteerd.

Jachra

En wat een aantal mensen hierbocen suggereren is natuurlijk ook heel erg waar. als het serieus is en uit de disk of pc bewijsmateriaal gehaald moet worden, ga er dan mee naar een gespecialiseerd bedrijf. Anders krijg je nooit het bewijs rons omdat aangedragen zal worden dat je met het bewijsmateriaal hebt zitten rommelen.

waarom wil je dit weten??

Leuk dat iedereen antwoord geeft, maar aan wie vertellen we dit.

Als je al niet weet hoe je in het registry moet komen. Heb je dan wel voldoende kennis in huis om een dergelijk onderzoek te doen?

Toko inhuren die het kan en weet waar ze mee bezig zijn zou ik zeggen.
Sommige zaken moet je niet zelf willen doen al is het om Conflict of interest te scheiden.

Om te beginnen NIET aansluiten op een windows systeem, gewoon uitlezen zonder te mounten en een directe bitwise copy van de device maken(niet de partities en zeker niet alleen de data erop). Deze copy hashen zodat je zeker weet dat deze overeen komt met de data op de harde schijf, hd in kluis copy naar backup en met andere versie werken. Read only mounten en dan kun je met iets als log2timeline een goed beeld krijgen van het pcgebruik.

Daarnaast zijn er tools om het windows register uit te lezen vanuit je (hopelijk linux) forensics systeem: http://www.forensicswiki.org/wiki/Windows_Registry

Maak gebruik van http://www.forensicswiki.org/ en een flinke portie gezond verstand. Wettelijke issues en belangenverstrengeling spelen hier ook flink mee.