Der Benutzername ist natürlich nur die halbe Miete. Hat sich der Spion erfolgreich ins System geschlichen, wird er versuchen, die zugehörigen Passwörter zu ermitteln.
Der einfachste Weg: Die Suchfunktion von Windows benutzen. Fahnden Sie damit nach Dateien mit den Endungen »*.pwd«, »*.ped«, »*.psr«, »*.psx« und »*.db«. Damit haben Sie die Endungen der bekanntesten Passwort-Schutztools, etwa Password Safe, abgegrast. Interessant sind natürlich Dateinamen wie »key« und »secmod«. Öffnen Sie diese Dateien mit WinHex. Sind sie verschlüsselt, geht nichts. Andernfalls sehen Sie die in diesen Dateien gespeicherten Passwörter vor sich.
WinHex kann noch mehr: Mit diesem Tool lässt sich auch die Auslagerungsdatei von Windows (pagefile.sys) durchforsten. Das geht allerdings nur mit einer zweiten Windows-Partition oder einem DOS-Kopiertool, denn der Windows-Dateischutz verhindert das Öffnen der Auslagerungsdatei.
Wenn Sie den Rechner beispielsweise mit Vista booten, können Sie von dort die pagefile.sys einer vorhandenen XP-Partition in WinHex laden. Diese finden Sie im Stammverzeichnis der betreffenden Windows-Partition. Über »Suchen | Text suchen« geben Sie nun Begriffe wie »Password«, »admin« oder »Benutzer« ein. Sie werden staunen, welche Geheimnisse die pagefile.sys ans Licht bringen kann: neben Windows-Passwörtern auch die Kennwörter für Webforen oder verschlüsselte PDF-Dokumente.
So schützen Sie sich Viele Passwort-Schutztools erlauben das Verwenden individueller Datei-Endungen. Geben Sie eine an, die nicht so offensichtlich ist. Akzeptieren Sie beim Speichern des Datentresors nie das Standardverzeichnis. Denn Tools wie AI RoboForm und Password Safe sind auch in Hackerkreisen bestens bekannt. Vor dem Auslesen der pagefile.sys schützt ein Registry-Tweak:
Starten Sie regedit und navigieren Sie zum Schlüssel »HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Control\SessionManager\Memory Management«. Klicken Sie doppelt auf den Eintrag »ClearPageFileAtShutdown« und weisen Sie den Wert »1« zu. So wird die Auslagerungsdatei bei jedem Herunterfahren von Windows mit Nullen vollgeschrieben. Beim Öffnen mit WinHex werden keine sensiblen Daten sichtbar.