Пишу для себя свой regmon, который ловит доступ к важным для системы ключикам. В данный момент в базе ключей за которыми нужно следить у меня находится порядка 15 ключиков к которым обычно обращаются вредоносные программы. Надо если не сложно, то напишите за какими ключиками надо следить более пристально, буду очень признателен.

| Сообщение посчитали полезным:

Важные для системы ключики, к которым обращаются вредоносные программы - это что такое? О чем вообще речь идёт?
Если ты про регистрационные ключи, то скачай себе TrialReset и смотри что и где она ищёт

Добавлено: Столько советов надавали. Может подождём пока g-l-u-k сам не скажет, что именно ему надо? g-l-u-k, непонятно что ты имеешь ввиду под словом "вредоносные" программы, учитывая что в своей последней теме ты пытался убить касперского

| Сообщение посчитали полезным:

g-l-u-k пишет:
В данный момент в базе ключей за которыми нужно следить у меня находится порядка 15 ключиков к которым обычно обращаются вредоносные программы

я так понимаю к ключам автозагрузки и т.п.

Лучше всего скачай AutoRuns от Sysinternals и посмотри там что тебе нужно.

| Сообщение посчитали полезным:

Думаю что долго мучится не надо все ключи важные, можно в реестор целиком прогу даже спрятоть.
[HKEY_CURRENT_USER\Software]
[HKEY_LOCAL_MACHINE\Software]
[HKEY_LOCAL_MACHINE\SYSTEM]
Лучше за всем реестром следить
Я пользуюсь ERUNT при загрузке винды целиком реестор копирует если что отмотать можно на целый месяц назад
мне и антивир и фоервол не нужен, так только если порты посмотреть неоткрыты ли.
а так проблемы только с руткитом могут быть.
если вирь не видем то некто его и не увидит.

| Сообщение посчитали полезным:

---

| Сообщение посчитали полезным:

Kiev78 пишет:
Берешь обычный regmon от Руссиновича, в фильтрах указываешь нужные тебе ключики, и вуаля!
А может он блокировать в реальном времени хочет типа вопрос - разрешить этот ключик или нет.

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

---

| Сообщение посчитали полезным:

Stack пишет:
А может он блокировать в реальном времени хочет типа вопрос - разрешить этот ключик или нет.
Тогда лучше HIPS поставить, проактив каспера, Safe'n'sec, во многие продвинутые фаерволы встроен короче какой нравиться и опять же И не нужно изобретать велосипед.

| Сообщение посчитали полезным:

Boss
спасибо за совет
Stack
А может он блокировать в реальном времени хочет типа вопрос - разрешить этот ключик или нет.
почти угадал. =)
redwhiterus
у меня стоит связка Eset Smart Security + COMODO Firewall Pro. Каспер MUST DIE.

Собственно мне интересно куда прописываются трои и прочая гадость, за какими ветками реестра необходимо следить более внимательнее чем за другими ну и т.д.

| Сообщение посчитали полезным:

g-l-u-k пишет:
Собственно мне интересно куда прописываются трои и прочая гадость, за какими ветками реестра необходимо следить более внимательнее чем за другими ну и т.д.

Тебе RSI уже ответил, в чем непонятки?

| Сообщение посчитали полезным:

дело втом что, не обязательно автозагрузку в реестор прописывать
можно пропатчить Explorer, notepad, callc.
или трюк зделать например в место exe будет трой запускатся, а трой уже запустит сам пргу.
Ну и конечноже сервисы.
вот програмка поможет все известные места знает автозапусков Autoruns http://www.securitylab.ru/software/download/page=233834&el=452544&file=http://download.sysinternals.com/Files/Autoruns.zip
Забыл добавить есчё трюк Winlogon
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\System32\userinit.exe,SKEYS /I" о кажись у меня уже чтото сидит

| Сообщение посчитали полезным:

Boss
Вот как раз таки AutoRuns все это позволяет отследить и проверить цифровые подписи файлов!

| Сообщение посчитали полезным:

g-l-u-k
А не проще похукать RegOpenKeyA и RegOpenKeyExA, чем следить за определенными ветками?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

RSI пишет:
AutoRuns все это позволяет отследить
Ну да я знаю, только надо сначало файл отчёта сохранить, а потом по нему AutoRuns и сверяет.
Spirit пишет:
похукать RegOpenKeyA и RegOpenKeyExA
Неплохая идея!

| Сообщение посчитали полезным:

Ветки автозапуска из реестра, взяты из KIS7.0. Если вашей ветки тут нет, то можете быть спокойны А для длягих аверов некоторые ветки не мониторятся.

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Ca talog9\Catalog_Entries *
HKLM\system\currentcontrolset\control\Session Manager BootExecute
HKLM\System\CurrentControlSet\Control\MPRServices\* DLLName
HKLM\SYSTEM\ControlSet???\Control\VirtualDeviceDrivers VDD
HKLM\SYSTEM\ControlSet???\Control\Session Manager\Environment ComSpec
HKLM\SYSTEM\ControlSet???\Control\SafeBoot\Minimal\*\Parameters ServiceDll
HKLM\SYSTEM\ControlSet???\Control\SafeBoot\Minimal\* ImagePath
HKLM\SYSTEM\ControlSet???\Control\SafeBoot AlternateShell
HKLM\SYSTEM\ControlSet???\Control\BootVerificationProgram ImagePath
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved *
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Common Startup
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\Standard *
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\NonWindowsApp *
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\BOOT *
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\* Debugger
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 *
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers *
HKLM\SOFTWARE\Microsoft\VBA\Monitors\* CLSID
HKLM\Software\Microsoft\Active Setup\Installed Components\* StubPath
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Startup
HKEY_CLASSES_ROOT\*file\shell\runas\command *
HKEY_CLASSES_ROOT\*file\shell\open\command *
HKCU\Software\Mirabilis\ICQ\Agent\Apps *
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe *
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon GinaDLL
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows run
*\Software\Policies\Microsoft\Windows\System\Scripts\* *
*\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoa d *
*\Software\Microsoft\Windows\CurrentVersion\Policies\System Shell
*\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run *
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks *
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskSchedul er *
*\Software\Microsoft\Windows*\CurrentVersion\Run* *
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\* DllName
*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon System
*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon UserInit
*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Shell
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Taskman
*\Control Panel\Desktop SCRNSAVE.EXE
© NeoN

-----
invoke OpenFire

| Сообщение посчитали полезным:

Boss
спасибо за ответ.
Spirit
А не проще похукать RegOpenKeyA и RegOpenKeyExA, чем следить за определенными ветками?
это позже реализую. так же спасибо за совет.
Ice-T
Ну что могу сказать big tnx

| Сообщение посчитали полезным:

g-l-u-k
А ты на какой мове пишешь, если не секрет?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit
самая любимая для меня мова - Delphi

| Сообщение посчитали полезным:

g-l-u-k
Тогда можешь поюзоть исходники рема по хуку функций. Хорошая вещь.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit
В принципе я так и думал сделать =)

| Сообщение посчитали полезным: