Скриване на ключове от системният регистър - възможна ли е мисията?
Автор |
|
programingsВто, 08.11.11, 18:47 |
Преди известно време, докато чистих особено упорити вируси от компютъра на един приятел за първи път се сблъсках със скрити ключове в системният регистър, тоест самите ключове са там, но не се виждат, което ги прави невъзможни за премахване на ръка, а именно това се налагаше тогава, тъй като бяхме вдигнали ръцете от всякакъв софтуер, а и гадините не се махаха дори при форматиране! Тогава се запитах как се скриват ключове в системният регистър, и когато се прибрах потърсих, но за жалост попаднах само на глупости! Та, как биха могли да се скриват ключове в системният регистър чрез reg файлове или друг тип такива? | | phrozencrewВто, 08.11.11, 19:10 | | | programingsВто, 08.11.11, 19:22 |
Този начин го видях, но няма ли друг? | | joniewalkerВто, 08.11.11, 20:15 | RE: Скриване на ключове от системният регистър - възможна ли е мисията?
” ... а и гадините не се махаха дори при форматиране!... „ След като форматираш С: не се махат вирусите ли? И каква връзка тогава имат със регистъра? | | programingsВто, 08.11.11, 20:21 |
Различните им настройки се съхраняват там, и ключовете са невидими! Не, това са особени вируси, които не се махат и след форматиране! Познати са като руткитове, и имат разновидности, които са много трудни за премахване! В крайна сметка успяхме! Като че ли предложеният от phrozencrew начин е единствен, но недостатъците му са, че след няколко ъпдейта на операционната система вече не е актуален! Въпроса обаче е как се връщат ключовете след като веднъж бъдат скрити? | | kookkiВто, 08.11.11, 23:11 | RE: Скриване на ключове от системният регистър - възможна ли е мисията?
” ... Не, това са особени вируси, които не се махат и след форматиране! ... „ След форматиране на кое ? На диск Z или на флашката ? Не разбирам и затова питам, защото не ми е ясно как след формат ще се стартира вирус. Явно форматът ти е неелит . Затрий и мастър записите за буутване. | | joniewalkerВто, 08.11.11, 23:54 |
След пълен формат и преоразмеряване на HDD не виждам как вирус ще остане, та бил той и руткит. | | океанСря, 09.11.11, 11:51 | RE: Скриване на ключове от системният регистър - възможна ли е мисията?
” След пълен формат и преоразмеряване на HDD не виждам как вирус ще остане, та бил той и руткит. „
Имал съм такъв случай.Само формат под DOS го оправи.С дискета за Win98. Дори и след затриване на дяловете и наново оразмеряване не помогна.Беше отдавна.Дори бях решил да хвърлям харда. редактиран от океан на 09.11.11 11:55 | | programingsСря, 09.11.11, 12:12 |
Мисля, че се отклонихме от темата! Някой знае ли друг начин за скриване на ключове от регистъра освен този, който е предложен по-горе? | | anonymousСря, 09.11.11, 14:30 |
След като знаеш местоположението им няма невъзможни неща. Примерен скрипт :OTL
:Reg
[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{A483C63A-CDBC-426E-BF93-872502E8144E}Elevation]
[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{A483C63A-CDBC-426E-BF93-872502E8144E}LocalServer32]
[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{A483C63A-CDBC-426E-BF93-872502E8144E}TypeLib]
[HKEY_LOCAL_MACHINEsoftwareClassesInterface{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINEsoftwareClassesInterface{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}ProxyStubClsid32]
[HKEY_LOCAL_MACHINEsoftwareClassesInterface{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}TypeLib]
[HKEY_LOCAL_MACHINESystemControlSet001EnumRootLEGACY_UTM5MJG2 000]
:Commands
[purity]
[Reboot] |
за премахване на регистри с помощта на OTL by OldTimer | | anonymousСря, 09.11.11, 15:21 |
Не е ли по лесно да се напише скрипт който да следи прозореца на RegEdit и като ползвателя влезе в раздела където е ключа просто ключа да бъде изтрит при напускането пак да бъде създаден... | | programingsСря, 09.11.11, 16:43 |
Хм, не се бях сетил! Мерси за идеята, armenxxx1 ! Ще се помъча да го реализирам! | | programingsВто, 29.11.11, 19:24 |
Ето как всъщност може да бъде скрит някой ключ от системният регистър чрез програма на AutoIt ! $varible = ("[CLASS:RegEdit_RegEdit]")
$varible2 = "123" ; Име на ключ в регистрите! Само ключа, без пътя до него!
While 1
$varible3 = ControlListView($varible, "", "SysListView321", "FindItem", $varible2)
If $varible3 = -1 Then
Sleep(5)
Else
$varible4 = WinGetHandle("[CLASS:RegEdit_RegEdit]")
$varible5 = ControlGetHandle($varible, "", "SysListView321")
DllCall("User32.dll", "int", "SendMessage", "hwnd", $varible4, "int", 0x0111, "int", 40025, "int", 0)
DllCall("user32.dll", "int", "SendMessage", "hwnd", $varible5, "int", 0x1008, "int", $varible3, "int", 0)
EndIf
WEnd |
hide_key.exe Хубаво, че беше Еди да ме подсети как става! | | insecteaterСря, 30.11.11, 06:54 |
Щях да напиша просто да му сложите такива права, че да не се вижда, ама гледам, че си се досетил. | | Коментар |