WCM Forum - Einzelnen Beitrag anzeigen - Wie etwas aus INAKTIVER Registry extrahieren ?

Herwig · 14.06.2003, 03:23

Leute, es hat geklappt!

Die Sache hat mir keine Ruhe gelassen und auch dass ihr euch hilfreich beteiligt habt, sollte schliesslich mit (noch) ein bisschen Nachhilfe von Google doch zum Erfolg fuehren.

Folgende Vorgangsweise wurde durchgefuehrt:

1) Die System.DAT und User.DAT aus dem WinME-Ghost-Image extrahiert und die Attribute System&Hidden entfernt.

2) Den virtuelle WinME-VmWare-Rechner gestartet, ein Verzeichnis angelegt und COMMAND.COM und REGEDIT.EXE (beides aus dem WinME-Windows-Verzeichnis) reinkopiert. Das muss man machen, um WinME den DOS-Modus "wieder" beizubringen.
Die Registry-DATs auch dort hin kopiert.

3) Bei den Eigenschaften der COMMAND.COM das Hackerl fuer "keine Windows-Erkennung durch MS-DOS-basierte Programme" aktiviert, dadurch wird beim Aufruf von Regedit.Exe nicht sofort das entsprechende Windows-Regedit gestartet.

4) Command.com starten (eventuell zwei mal, wenn das Dos-Fenster beim ersten Mal haengen bleibt) und an dieser Kommandozeile nun folgendes eingeben: REGEDIT /L:SYSTEM.DAT /R:USER.DAT /E regtemp.txt

Erklaerung der Schalter: Mit L und R wird die Position der zu verwenden DAT-Files gegeben. Bei WinME wuerde es sogar noch eine dritte DAT geben, naemlich CLASSES.DAT, aber die wird hier nicht gebraucht.
Mit C erfolgt eine Ausgabe der Registry im ueblichen *.reg-TEXT-Format, der Dateiname dahinter gibt eben das Zielfile an.

5) Nach einer SEHR langen Zeit, etwa eine Viertelstunde, ist der Vorgang beendet und man kann nun die gesuchten Schluessel mit Hilfe eines gscheiten Text-Editors extrahieren.
Und das wunderbare dabei ist ja, dass man die aktive Registry des (hier virtuellen) Rechners nicht anruehrt !!!

So, das wars dann, Problem geloest!
Danke nochmals fuer eure Tips!

14.06.2003, 03:23	#10
Herwig Inventar Registriert seit: 13.10.2000 Beiträge: 1.622	DIE LOESUNG !!!!!!!!!!! Leute, es hat geklappt! Die Sache hat mir keine Ruhe gelassen und auch dass ihr euch hilfreich beteiligt habt, sollte schliesslich mit (noch) ein bisschen Nachhilfe von Google doch zum Erfolg fuehren. Folgende Vorgangsweise wurde durchgefuehrt: 1) Die System.DAT und User.DAT aus dem WinME-Ghost-Image extrahiert und die Attribute System&Hidden entfernt. 2) Den virtuelle WinME-VmWare-Rechner gestartet, ein Verzeichnis angelegt und COMMAND.COM und REGEDIT.EXE (beides aus dem WinME-Windows-Verzeichnis) reinkopiert. Das muss man machen, um WinME den DOS-Modus "wieder" beizubringen. Die Registry-DATs auch dort hin kopiert. 3) Bei den Eigenschaften der COMMAND.COM das Hackerl fuer "keine Windows-Erkennung durch MS-DOS-basierte Programme" aktiviert, dadurch wird beim Aufruf von Regedit.Exe nicht sofort das entsprechende Windows-Regedit gestartet. 4) Command.com starten (eventuell zwei mal, wenn das Dos-Fenster beim ersten Mal haengen bleibt) und an dieser Kommandozeile nun folgendes eingeben: REGEDIT /L:SYSTEM.DAT /R:USER.DAT /E regtemp.txt Erklaerung der Schalter: Mit L und R wird die Position der zu verwenden DAT-Files gegeben. Bei WinME wuerde es sogar noch eine dritte DAT geben, naemlich CLASSES.DAT, aber die wird hier nicht gebraucht. Mit C erfolgt eine Ausgabe der Registry im ueblichen *.reg-TEXT-Format, der Dateiname dahinter gibt eben das Zielfile an. 5) Nach einer SEHR langen Zeit, etwa eine Viertelstunde, ist der Vorgang beendet und man kann nun die gesuchten Schluessel mit Hilfe eines gscheiten Text-Editors extrahieren. Und das wunderbare dabei ist ja, dass man die aktive Registry des (hier virtuellen) Rechners nicht anruehrt !!! So, das wars dann, Problem geloest! Danke nochmals fuer eure Tips!