ExeCryptor 2.x оч.любит в реестре создавать защищенные ключики. Делаю лоадер для одной прожки, защищенной этой гадостью, но наткнулся на проблему удаления этих ключей.
Лоадер творю на Delphi. Пихаю стандартный код:

Reg:=TRegistry.Create;
reg.Access := KEY_ALL_ACCESS;
Reg.OpenKey(...,False); // в принципе облом наступает уже туть
Reg.DeleteKey(...);

реакция нулевая .
Как посредством Дельфи расшарить полный доступ к веткам реестра, созданным Экзекриптором?

| Сообщение посчитали полезным:

YDS пишет:
Reg.OpenKey(...,False);
Здесь обычно происходит ошибка, когда неправельно указан путь
Проверь. Попробуй False заменить на True. Если ничто не появится, то на правельном пути иначе догадаешься сам

| Сообщение посчитали полезным:

GAMe ovER пишет:
Здесь обычно происходит ошибка, когда неправельно указан путь

Ох, если бы это было так просто ;) Путь, конечно, указан верно. Дело не в этом, а в отстутствии доступа к ключу. Запустите любую прогу, защещенную Экзекриптором 2.x (iuVCR, к примеру) и попробуйте в реестре очистить ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved.

| Сообщение посчитали полезным:

YDS пишет:
опробуйте в реестре очистить ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved.
И что, у меня получилось
YDS пишет:
Дело не в этом, а в отстутствии доступа к ключу.
Как я понял это похожая ситуация как с RAT?Тогда заюзай гугл.
Только я вот эту строчку понять не могу.
YDS пишет:
reg.Access := KEY_ALL_ACCESS;

| Сообщение посчитали полезным:

GAMe ovER пишет:
И что, у меня получилось
А уменя нет, хоть застрелись. Посредством regedit, кстати, тоже, хотя права администраторские (ошибка: НЕ удается открыть... Ошибка открытия раздела).

GAMe ovER пишет:
Как я понял это похожая ситуация как с RAT?
Что за ситуация?

GAMe ovER пишет:
заюзай гугл
С того и начинал

GAMe ovER пишет:
Только я вот эту строчку понять не могу.
YDS пишет:
reg.Access := KEY_ALL_ACCESS;
Ну тут-то вроде и без перевода все ясно

| Сообщение посчитали полезным:

YDS пишет:
А уменя нет, хоть застрелись
Вот народ пошел. Из-за этого уже стреляться.
YDS пишет:
Посредством regedit Я им и воспользовался.

YDS пишет:
Что за ситуация?
В RAT храняться все пароли. В реестре этот раздел не виден, хотя есть. Открыть его не возможно стандартными программами.
YDS пишет:
Ну тут-то вроде и без перевода все ясно
Я что-то другое вместо этого писал. Что не помню, это полгода тому назад было.

| Сообщение посчитали полезным:

Причина, кажется начинает проясняться. Цитата с wasm.ru

..для защиты используется описанное Марком Руссиновичем (автор Regmon-а) различие работы со строками между Win32 API и Native API:
«How is this possible? The answer is that a name which is a counted Unicode string can explicitly include NULL characters (0) as part of the name. For example, "Key\0". To include the NULL at the end the length of the Unicode string is specified as 4. There is absolutely no way to specify this name using the Win32 API since if "Key\0" is passed as a name, the API will determine that the name is "Key" (3 characters in length) because the "\0" indicates the end of the name».
Коротко говоря, когда вы создаете ключ реестра с помощью RegCreateKey (Win32 API), то передаете строку с именем ключа (например «Key»), но длину строки вы не указываете, функция высчитывает ее сама (как только встретит 0x0). А при использовании функции NtCreateKey (Native API), мы обязаны явно указать какой длины хотим создать ключ, по этому для строки «Key» можно определить длину как 4 и потом эту ветку, из-за несовпадения длин, будет невозможно открыть функциями Win32 API.

Т.е. задача заключается в том, чтобы выставить ключу его реальную длину.

| Сообщение посчитали полезным:

А тут пример создания такого ключа на Delphi:
immortals.fake.hu/delphiportal/modules.php?name=News&file=print&sid=874

| Сообщение посчитали полезным:

Прошу меня извинить, но как же, все-таки удалить защищенный ключ в реестре?
Этак любая прога напихает в МОЙ реестр черт-те чего, а я и удалить не могу?

| Сообщение посчитали полезным:

юзай RTKF

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Огромное спасибо! И за подсказку и автору Registry Trash Keys Finder (RTKF)!
Вопрос снят. Иду учиться дальше.

| Сообщение посчитали полезным:

Вот увидел эту тему и решил сюда запостить. Вопрос вообще не относящийся к тематике форума, но может кто-нибудь сталкивался. Вопрос супер ламерский: короче в винде, в окне, в раздели сервис исчезло свойство папки. Попробовав восстановить через реестр, получил отказ что у меня нету админских прав и их никак не получить. Написание reg-файла дало тот же результат.

| Сообщение посчитали полезным:

PLAYFCUK пишет:
Написание reg-файла дало тот же результат.
Ну так ясен пень раз прав нету. Без прав никак, ну может сплойт найдешь только если найдешь...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PLAYFCUK пишет:
Попробовав восстановить через реестр, получил отказ что у меня нету админских прав и их никак не получить. Написание reg-файла дало тот же результат.

Попробуй вручную реестр поправить, например, загрузившись под каким-нибудь bartPE (...).
В защищенном режиме нельзя логиниться под админом разве? Вот и попробуй. У меня таких проблем не возникает, sandbox. Программы не самовольничают, админ и system выдаются под мою дудку (читайте Касперского-классика наших дней, черт его возьми =).

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

YDS
А если так ?
Reg:=TRegistry.Create;
reg.Access := KEY_ALL_ACCESS;
Reg.RootKey := HKEY_LOCAL_MACHINE;
Reg.OpenKey('....',False); // в принципе облом наступает уже туть
Reg.DeleteKey(...);

Тоже нет ?

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

mysterio, смотри на даты постов!

-----
Всем привет, я вернулся

| Сообщение посчитали полезным: