Unter welchen Lizenzbedingungen darf ich RegLast verwenden?
Das Programm wurde mit größter Sorgfalt entwickelt. Der Autor kann aber nicht dafür garantieren, daß es unter jeder Version von Windows NT auf jedem Rechner fehlerfrei läuft. Aus diesem Grunde wird bei eventuell auftretenden Fehlern oder Schäden, gleich welcher Art, keine Haftung übernommen.
Das Programm ist nur als Bestandteil des Programmpaketes RegTools für Windows NT erhältlich und darf nicht weitergegeben werden.

Was benötige ich, um das Programm erfolgreich laufen zu lassen?

• Windows NT ab Version 4.0
• Sie müssen die Lizenzbedingungen akzeptieren.
• Um den letzten Schreibzugriff eines Registrierungsschlüssels abzufragen, benötigen Sie Lesezugriff für diesen Schlüssel.
• Falls Sie diese Berechtigungen nicht haben, werden Sie trotzdem Erfolg haben, wenn Sie unter einem Konto angemeldet sind, das Mitglied der Gruppe der Administratoren ist.

Sie müssen dem Programm 2 Informationen geben:

1. Welcher Registrierungsschlüssel interessiert Sie? - Das Programm muß den vollständigen Pfad zu dem Schlüssel wissen.
2. Was soll mit dem Besitzer von diesem Schlüssel angestellt werden? - Sie müssen wenigstens einen Befehl angeben, damit das Programm überhaupt etwas sinnvolles macht.

Registrierungsschlüssel angeben

[\\Computer\]Root[\Subkey]

HKLM - HKEY_LOCAL_MACHINE
HKU  - HKEY_USERS
HKCU - HKEY_CURRENT_USER
HKCC - HKEY_CURRENT_CONFIG
HKCR - HKEY_CLASSES_ROOT

Schalter
Der Schalter -ANSI
Mit diesem Schalter weisen Sie das Programm an, den ANSI-Zeichensatz statt des sonst benutzten OEM-Zeichensatzes zu verwenden. Wie Sie wissen, ist OEM der voreingestellte Zeichensatze der Eingabeaufforderung. Er sollte also benutzt werden, wenn ein Kommandozeilen-Programm am Bildschirm gestartet wird. ANSI ist der übliche Zeichensatz der grafischen Benutzeroberfläche. Er sollte benutzt werden, wenn die Ausgabe des Programms in eine Datei umgeleitet wird, welche später mit einem GUI Programm weiterverarbeitet oder gelesen wird.

Der Schalter -SUBTREE
Mit diesem Schalter in Verbindung mit dem Befehl /L weisen Sie das Programm an, statt nur den angegebenen Registrierungsschlüssel auch den gesamten Teilbaum darunter anzuzeigen. Bei den Befehlen /FA und /FB ist die Angabe von -SUBTREE überflüssig und nicht zulässig, da hier standardmäßig immer der gesamte Teilbaum durchsucht wird.

Der Schalter -UTC
Normalerweise verwendet RegLast die aktuellen Einstellungen für Zeitzone und Sommerzeit. Mit dem Schlater -UTC teilen Sie RegLast mit, statt dessen die UTC (Coordinated Universal Time)  zu verwenden. Das ist die Standardzeit, die Windows NT tasächlich verwendet, um Zugriffszeiten zu speichern.

Der Schalter -DTF
Normalerweise verwendet RegLast das Format yyyymmddhhnnss (es wird weiter unten zusammen mit der Option /FA erklärt), um den letzten Schreibzugriff eines Registrierungsschlüssels anzuzeigen. Mit dem Schalter -DTF weisen Sie RegLast an, die auf Ihrem Rechner eingestellten Standardformate für die Anzeige von Datum und Uhrzeit zu verwenden.
 

Befehle

Der Befehl /L (Besitzer anzeigen)
Mit diesem Befehl können Sie den  letzten Schreibzugriff eines Registrierungsschlüssels anzeigen lassen. Wenn Sie zusätzlich den Schalter -SUBTREE verwenden, wird der gesamte Teilbaum angezeigt.

Der Befehl  /FAtime
Dieser Befehl listet alle Schlüssel im angegebenen Teilbaum auf, deren letzter Schreibzugriff nach der angegebenen Zeit erfolgte. Unabhängig von der Verwendung des Schalters DTF muß die Zeit im Format yyyymmddhhnnss angegeben werden, wobei gilt:

• yyyy ist das Jahr mit 4 Stellen
• mm ist der Monat mit 2 Stellen
• dd ist der Tag mit 2 Stellen
• hh ist die Stunde mit 2 Stellen
• nn ist die Minute mit 2 Stellen
• ss ist die Sekunde mit 2 Stellen

Der Befehl /FBtime
Dieser Befehl listet alle Schlüssel im angegebenen Teilbaum auf, deren letzter Schreibzugriff vor der angegebenen Zeit erfolgte. Sie können die Befehle /FA und /FB kombinieren, um das interessierende Zeitfenster bis auf die Sekunde genau einzuschränken.

Beispiele
1. Um alle Registrierungsschlüssel unter hklm\software aufzulisten, die zuletzt am 1. Juni 2001 zwischen 22:00 und 22:10 geändert wurden, benutzen Sie folgenden Befehl:
RegLast hklm\software /fa2001060122 /fb200106012210

2. Vergleichen Sie die Ergebnisse in Abhängigkeit von der Verwendung des Schalters -DTF:

Befehl:
reglast hklm\software\FrankHeyne  /l
Ergebnis:
Letzter Schreibzugriff auf Registrierungsschlüssel hklm\software\FrankHeyne:
20010313090450  hklm\software\FrankHeyne

Befehl:
reglast hklm\software\FrankHeyne  /l -dtf
Ergebnis:
Letzter Schreibzugriff auf Registrierungsschlüssel hklm\software\FrankHeyne:
13.03.01  09:04:50      hklm\software\FrankHeyne

3. Versuchen Sie auf einem Windows 2000 Rechner eine Liste der letzten Schreibzugriffe aller Registrierungsschlüssel unter hklm\security\Policy\Secrets\ zu erhlaten. Ein Teil der Ausgabe von RegEdt32 in eine Textdatei sieht so aus:
 
Key Name:          SECURITY\Policy\Secrets\SAC
Class Name:
Last Write Time:
 
Key Name:          SECURITY\Policy\Secrets\SAI
Class Name:
Last Write Time:

Nicht sehr hilfreich, oder?

Und das ist ein Teil der Ausgabe von RegLast:
20000207185208  hklm\security\Policy\Secrets\SAC
20010530183645  hklm\security\Policy\Secrets\SAC\CupdTime
20010530183645  hklm\security\Policy\Secrets\SAC\CurrVal
20010530183645  hklm\security\Policy\Secrets\SAC\OldVal
20010530183645  hklm\security\Policy\Secrets\SAC\OupdTime
20000207185208  hklm\security\Policy\Secrets\SAC\SecDesc
20000207185208  hklm\security\Policy\Secrets\SAI
20010530183645  hklm\security\Policy\Secrets\SAI\CupdTime
20010530183645  hklm\security\Policy\Secrets\SAI\CurrVal

Nun welches Programm bevorzugen Sie? ;-)

Alles klar?
Wenn nach gründlicher Lektüre dieses Artikels wider Erwarten noch Unklarheiten bezüglich des Setzens oder der Abfrage des Besitzers von Schlüssel in der Registrierung von Windows NT herrschen, können Sie zwecks Klärung gern eine email an fh@heysoft.de schicken. Zuvor sollten Sie aber prüfen, ob Ihre Frage nicht schon in der FAQ zu Sicherheitsfragen der Windows NT Registrierung beantwortet wurde.