 |
eXeL@B —› Программирование —› Парсинг файлов реестра |
| Посл.ответ | Сообщение |
|
|
Создано: 11 февраля 2007 20:37 · Личное сообщение · #1 ищю доку по формату файлов реестра ----- have a nice day  |
|
|
Создано: 11 февраля 2007 22:32 · Личное сообщение · #2 всмысле этих что лежат в %windir%\system32\config\ ? 
|
|
|
Создано: 11 февраля 2007 23:35 · Поправил: Nimnul · Личное сообщение · #3 да те самые + C:\Documents and Settings\user_name\ntuser.dat ----- have a nice day |
|
|
Создано: 11 февраля 2007 23:44 · Личное сообщение · #4 Nimnul В инете есть готовый редактор реестра с ихсодниками, написан нашим соотечественником. Домой приеду дам ссылку ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 11 февраля 2007 23:59 · Личное сообщение · #5 nice Выговор! Почему до сих пор не выложен линк! ;) ----- My love is very cool girl. |
|
|
Создано: 11 февраля 2007 23:59 · Личное сообщение · #6 nice гы ну тогда ты будешь первым обладателем преватной тулзы 
----- have a nice day |
|
|
Создано: 12 февраля 2007 00:02 · Личное сообщение · #7 Nimnul пишет: гы ну тогда ты будешь первым обладателем преватной тулзы My_regedit.exe? |
|
|
Создано: 12 февраля 2007 00:17 · Поправил: MACKLIA · Личное сообщение · #8 Книга -> ''Реестр Windiws XP'' , может пригодится (сам только сегодня скачал) http://files.3axodu.com/books//comp/windows/reestr_x.rar http://files.3axodu.com/books//comp/windows/reestr_x.rar (формат DjVu) ----- Что один человек сделал , другой всегда сломать может ----- Что один человек сделал , другой всегда сломать может... |
|
|
Создано: 12 февраля 2007 00:22 · Личное сообщение · #9 Nimnul тут с сурсами paullee.ru/regstry.html ну и вот ещё глянь, случайно наткнулся: sourceforge.net/projects/regviewer/ ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 12 февраля 2007 00:53 · Личное сообщение · #10 Ara пишет: гы ну тогда ты будешь первым обладателем преватной тулзы А что она делать будет? ----- ring 0 |
|
|
Создано: 12 февраля 2007 10:10 · Личное сообщение · #11 regshot распространяется с исходниками с комментами на китайском кажется =) |
|
|
Создано: 12 февраля 2007 16:45 · Личное сообщение · #12 nice надо было сначало в асе спросить , спасиб твоя помощь неоценима.
apple Нахождение драйверов скрывающих себя руткитами. ----- have a nice day |
|
|
Создано: 12 февраля 2007 21:40 · Личное сообщение · #13 Nimnul пишет: Нахождение драйверов скрывающих себя руткитами. а Rootkit Revealer уже не помогает ? |
|
|
Создано: 13 февраля 2007 04:23 · Поправил: Error_Log · Личное сообщение · #14 RAMZEZzz пишет: а Rootkit Revealer уже не помогает ? LOL. RootkitRevealer просто дампит ветки через ZwSaveKey а потом сверяет с WinAPI, наколоть это не сможет только ленивый. Алго прост - кроме стандартных АПИ для реестра перехватываем ZwSaveKey, когда срабатывает обработчик - удаляем из ветки то, что надо скрывать, делаем дамп и возвращаем проге, после чего снова создаем ключ, который перед этим удалили. А можно вообще задетектить ревилер и отдать ему все ключи - он показывает только если есть отличия, отличий не будет - и хрен он что покажет. Nimnul А файло ты как будешь читать? Если через WinAPI, то можешь не стараться, тебе подсунут липу. Там надо рыться в рукопашную в файловой системе и не юзать IOCTL дривера файловой системы, иначе вся работа на смарку
----- Research is my purpose |
|
|
Создано: 13 февраля 2007 09:01 · Личное сообщение · #15 Может и ошибаюсь, но RootkitRevealer своё устройство ставит и через него с файлами работает. В любом случае Nimnul, прога будет хорошая. Меня бы устроило если бы она просто разбирала файл реестра обращаясь к нему стандартными средствами файловой системы. Сомневаюсь, что кто-то в руткит режима ядра, будет закладавать механизмы разбора файлов реестра и подмены веток. PS: RootkitRevealer мне не нравится. Неповоротливый больно и кучу всякой хрени на создаёт(устройства, кучу странных файлов по разным папкам). |
|
|
Создано: 13 февраля 2007 10:04 · Личное сообщение · #16 asdfgh пишет: Сомневаюсь, что кто-то в руткит режима ядра, будет закладавать механизмы разбора файлов реестра и подмены веток Не стоит сомневаться, есть примеры, например Backdoor.Rustok. RootkitRevealer сосет болт с левой накруткой. Удивительно, но скрытый драйвер Rustok-a rku до сих пор не видит, впрочем остальные антируткиты не лучше; в тоже время автор сего творения говорил на форуме сисинтерналс, что посленяя версия руткита более совершенна и не ловится вообще. Последняя версия, кот. ловили кажись Rustok.B ----- Research is my purpose |
|
|
Создано: 13 февраля 2007 17:57 · Поправил: Nimnul · Личное сообщение · #17 Error_Log я планирую читать файлы реестра через физиклдрайв по кластерам, и засекать время чтения. Error_Log пишет: удаляем из ветки то, что надо скрывать, делаем дамп и возвращаем проге, после чего снова создаем ключ, который перед этим удалили если каждый раз при чтении этой ветки ты будешь удалять из нее бут драйвера, тогда повышается вероятность, того что драйвер удалит сам себя навсегда, к примеру если в один из таких моментов произойдет бсод, эксепшн или ресет. Error_Log пишет: А можно вообще задетектить ревилер и отдать ему все ключи - он показывает только если есть отличия, отличий не будет - и хрен он что покажет. покажи мне ключ и я скажу кто ты (R) ----- have a nice day |
|
|
Создано: 13 февраля 2007 20:12 · Личное сообщение · #18 я помню искал руткит так: сохранял в тотале дерево каталогов с файлами, грузился в другой винде, делал там тоже самое, и сравнивал оба результата. ИМХО самый верный способ, обнаружить скрытые руткитом файлы. |
|
|
Создано: 14 февраля 2007 01:09 · Личное сообщение · #19 Nimnul пишет: если каждый раз при чтении этой ветки ты будешь удалять из нее бут драйвера, тогда повышается вероятность, того что драйвер удалит сам себя навсегда, к примеру если в один из таких моментов произойдет бсод, эксепшн или ресет. Мне это не зачем, тем не менее руткитосы так делают - вероятность не такая уж и большая; это просто делается, и уж лучше так, чем попалиться ревилером. RAMZEZzz пишет: ИМХО самый верный способ А если файл находится в NTFS stream? Например: %Windir%System32:lzx32.sys Nimnul пишет: я планирую читать файлы реестра через физиклдрайв по кластерам Так делает Rkdetector2; это уже пройденный этап -- Rustok он не видит. Nimnul пишет: и засекать время чтения ХЗ конечно, не думаю, что найдутся извращенцы, которые будут эмулить и это, хотя все возможно... ----- Research is my purpose |
|
|
Создано: 14 февраля 2007 02:26 · Поправил: Nimnul · Личное сообщение · #20 да я и не говорю что это 100%, но хотябы от всяких криворуких руткитов будет простая и надежная защита, при этом не нужны всяки проактивы которые все хукают, тормозя систему в среднем на 30%. ----- have a nice day |
|
|
Создано: 14 февраля 2007 09:14 · Поправил: s0larian · Личное сообщение · #21 Nimnul, идея хорошая. Так, в свой время, делал adinf - разбирал структуру FAT раздела используя по-блоковое чтение через BIOS. Кста, по поводу чтения - ты можешь разделить проект на две части: а) прога которая позволит скопировать файл регистра прямо с диска, без win32 API (e.g. lowcopy C:\Documents and Settings\someuser\ntuser.dat mycopy.dat) б) прога которая сделает diff между тем что видно зерез RegEnumKeyEx() и тем что находится в обычном файле (e.g. diff HKCU mycopy.dat) прохукать/эмулировать шаг б) просто не реально для rootkit-а |
|
|
Создано: 05 марта 2007 12:15 · Личное сообщение · #22 Читая на досуге 4-е изд "Внутреннее устройство... " наткнулся на утилитку ChkReg http_//www.microsoft.com/downloads/details.aspx?displaylang=en&familyi d=56d3c201-2c68-4de8-9229-ca494362419c Мож её разобрать - посмотреть что и как...  9216_05.03.2007_CRACKLAB.rU.tgz - ChkReg.zip
|
|
eXeL@B —› Программирование —› Парсинг файлов реестра |
Для печати