Форум » Системни администратори и хакери » Скриване на ключове от системният регистър - възможна ли е мисията?

Скриване на ключове от системният регистър - възможна ли е мисията?

Автор

Съобщение

programings
Вто, 08.11.11, 18:47

Преди известно време, докато чистих особено упорити вируси от компютъра на един приятел за първи път се сблъсках със скрити ключове в системният регистър, тоест самите ключове са там, но не се виждат, което ги прави невъзможни за премахване на ръка, а именно това се налагаше тогава, тъй като бяхме вдигнали ръцете от всякакъв софтуер, а и гадините не се махаха дори при форматиране!
Тогава се запитах как се скриват ключове в системният регистър, и когато се прибрах потърсих, но за жалост попаднах само на глупости!
Та, как биха могли да се скриват ключове в системният регистър чрез reg файлове или друг тип такива?
редактиран от programings на 08.11.11 18:49
Отговор За печат
phrozencrew
Вто, 08.11.11, 19:10

Виж тук, ако използваш повече от 255 символа би трябвало да стане, но това е поправимо с ъпдейтите на Windows:
http://www.reviewingit.com/index.php/content/view/28/2/
между другото това търсене би било по-подходящо в твоя случай.
Отговор За печат
programings
Вто, 08.11.11, 19:22

Този начин го видях, но няма ли друг?
Отговор За печат
joniewalker
Вто, 08.11.11, 20:15
RE: Скриване на ключове от системният регистър - възможна ли е мисията?

Цитат на programings от Вторник, 08.11.2011 18:47
” ... а и гадините не се махаха дори при форматиране!... „
След като форматираш С: не се махат вирусите ли? И каква връзка тогава имат със регистъра?
Отговор За печат
programings
Вто, 08.11.11, 20:21

Различните им настройки се съхраняват там, и ключовете са невидими!
Не, това са особени вируси, които не се махат и след форматиране!
Познати са като руткитове, и имат разновидности, които са много трудни за премахване!
В крайна сметка успяхме!
Като че ли предложеният от phrozencrew начин е единствен, но недостатъците му са, че след няколко ъпдейта на операционната система вече не е актуален!
Въпроса обаче е как се връщат ключовете след като веднъж бъдат скрити?
редактиран от programings на 08.11.11 20:25
редактиран от programings на 08.11.11 20:57
Отговор За печат
kookki
Вто, 08.11.11, 23:11
RE: Скриване на ключове от системният регистър - възможна ли е мисията?

Цитат на programings от Вторник, 08.11.2011 20:21
” ... Не, това са особени вируси, които не се махат и след форматиране! ... „
След форматиране на кое ? На диск Z или на флашката ?
Не разбирам и затова питам, защото не ми е ясно как след формат ще се стартира вирус.
Явно форматът ти е неелит . Затрий и мастър записите за буутване.
Отговор За печат
joniewalker
Вто, 08.11.11, 23:54

След пълен формат и преоразмеряване на HDD не виждам как вирус ще остане, та бил той и руткит.
Отговор За печат
океан
Сря, 09.11.11, 11:51
RE: Скриване на ключове от системният регистър - възможна ли е мисията?

Цитат на joniewalker от Вторник, 08.11.2011 23:54
” След пълен формат и преоразмеряване на HDD не виждам как вирус ще остане, та бил той и руткит. „
Имал съм такъв случай.Само формат под DOS го оправи.С дискета за Win98. Дори и след затриване на дяловете и наново оразмеряване не помогна.Беше отдавна.Дори бях решил да хвърлям харда.
редактиран от океан на 09.11.11 11:55
Отговор За печат
programings
Сря, 09.11.11, 12:12

Мисля, че се отклонихме от темата!
Някой знае ли друг начин за скриване на ключове от регистъра освен този, който е предложен по-горе?
Отговор За печат
anonymous
Сря, 09.11.11, 14:30

След като знаеш местоположението им няма невъзможни неща.
Примерен скрипт
:OTL :Reg [HKEY_LOCAL_MACHINEsoftwareClassesCLSID{A483C63A-CDBC-426E-BF93-872502E8144E}] [HKEY_LOCAL_MACHINEsoftwareClassesCLSID{A483C63A-CDBC-426E-BF93-872502E8144E}Elevation] [HKEY_LOCAL_MACHINEsoftwareClassesCLSID{A483C63A-CDBC-426E-BF93-872502E8144E}LocalServer32] [HKEY_LOCAL_MACHINEsoftwareClassesCLSID{A483C63A-CDBC-426E-BF93-872502E8144E}TypeLib] [HKEY_LOCAL_MACHINEsoftwareClassesInterface{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] [HKEY_LOCAL_MACHINEsoftwareClassesInterface{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}ProxyStubClsid32] [HKEY_LOCAL_MACHINEsoftwareClassesInterface{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}TypeLib] [HKEY_LOCAL_MACHINESystemControlSet001EnumRootLEGACY_UTM5MJG2000] :Commands [purity] [Reboot]
за премахване на регистри с помощта на OTL by OldTimer
Отговор За печат
anonymous
Сря, 09.11.11, 15:21

Не е ли по лесно да се напише скрипт който да следи прозореца на RegEdit и като ползвателя влезе в раздела където е ключа просто ключа да бъде изтрит при напускането пак да бъде създаден...
Отговор За печат
programings
Сря, 09.11.11, 16:43

Хм, не се бях сетил!
Мерси за идеята, armenxxx1 ! Ще се помъча да го реализирам!
Отговор За печат
programings
Вто, 29.11.11, 19:24

Ето как всъщност може да бъде скрит някой ключ от системният регистър чрез програма на AutoIt !
$varible = ("[CLASS:RegEdit_RegEdit]") $varible2 = "123" ; Име на ключ в регистрите! Само ключа, без пътя до него! While 1 $varible3 = ControlListView($varible, "", "SysListView321", "FindItem", $varible2) If $varible3 = -1 Then Sleep(5) Else $varible4 = WinGetHandle("[CLASS:RegEdit_RegEdit]") $varible5 = ControlGetHandle($varible, "", "SysListView321") DllCall("User32.dll", "int", "SendMessage", "hwnd", $varible4, "int", 0x0111, "int", 40025, "int", 0) DllCall("user32.dll", "int", "SendMessage", "hwnd", $varible5, "int", 0x1008, "int", $varible3, "int", 0) EndIf WEnd

hide_key.exe
Хубаво, че беше Еди да ме подсети как става!
редактиран от programings на 29.11.11 19:25
редактиран от programings на 29.11.11 19:51
Отговор За печат
insecteater
Сря, 30.11.11, 06:54

Щях да напиша просто да му сложите такива права, че да не се вижда, ама гледам, че си се досетил.
Отговор За печат

Коментар

за нас | за разработчици | за реклама | станете автори | in english