Schon geraume Zeit ist bekannt, daß sich Registrierungseinträge vor dem neugierigen Auge des Systemverwalters verbergen können, solange man mit den üblichen Werkzeugen wie regedit o.ä. herangeht. Wer nun glaubt, dafür bedürfe es erst eines Rootkits wie z.B. der Sony-Trojaner eines war, der irrt sich jedoch gründlich. Bereits in Windows (NT5.0 und 5.1, also 2000 und XP) ist eine entsprechende Sehschwäche angelegt.
Konkret: Man kann keineswegs sicher sein kann, stets alles gezeigt zu bekommen, selbst wenn man seine Reistrierung gezielt durchsucht. Und auch das von uns immer wieder empfohlene, ansonsten hervorragende Werkzeug HijackThis sieht es in der aktuellen Version nicht, wie unter Merijn.org nachzulesen ist.
Bei Sysinternals kann man Details über die Ursache des Desasters erfahren, es geht im wesentlichen um die Definition der Trennzeichen von Zeichenketten, die in der win32-API im Gegensatz zur nativen API als Null-terminierte ANSI (8bit) interpretiert werden. So können bestimmte Zeichenketten nicht als solche erkannt werden, und alle Programme die sich in Windows auf diese API verlassen, sind auf diesem Auge folglich blind, wohingegen der Windows-Kern mit seiner nativen API (16Bit UNICODE) die entsprechenden Strings sehr wohl erkennt und auch ausführt, und das schon während des Systemstarts.
Außerdem werden lt. Board Protectus alle Einträge unterschlagen, die länger als 255 Zeichen lang sind.
Der Blick in die Registrierung ist nicht mehr länger der Garant dafür, ein sauberes System zu haben.
Zum Glück gibt es aber einige Programme, die auch diese "unsichtbaren" Registrierungseinträge zutage fördern. Der Registrierungseditor regedt32.exe unter Windows 2000 (und nur dieser!) hat den durchdringenden Blick. Anders unter Windows XP, in allen Versionen dieses Betriebssystems ist man ausschließlich(!) auf das wenig komfortabele Komandozeilenwerkzeug reg.exe angewiesen, um Unsichtbares sichtbar zu machen, sofern man nicht geeignete Drittanbietersoftware verwendet.
Wenigstens die kritischen Schlüssel, die beim Systemstart Prozesse laden, z.B.
Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
Hkey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
...
sollte man einmal auf diese Weise unter die Lupe nehmen.
Ich hoffe mal, da gibt es dann keine unangenehmen Überraschungen...
Grüße
Funkenzupfer.
Quelle: Windows Registry Editor Utility String Concealment Weakness - Advisories - Secunia