ACHTUNG: Unsichtbare Registrierungseinträge unter Win2000/XP

    Schon geraume Zeit ist bekannt, daß sich Registrierungseinträge vor dem neugierigen Auge des Systemverwalters verbergen können, solange man mit den üblichen Werkzeugen wie regedit o.ä. herangeht. Wer nun glaubt, dafür bedürfe es erst eines Rootkits wie z.B. der Sony-Trojaner eines war, der irrt sich jedoch gründlich. Bereits in Windows (NT5.0 und 5.1, also 2000 und XP) ist eine entsprechende Sehschwäche angelegt.

    Konkret: Man kann keineswegs sicher sein kann, stets alles gezeigt zu bekommen, selbst wenn man seine Reistrierung gezielt durchsucht. Und auch das von uns immer wieder empfohlene, ansonsten hervorragende Werkzeug HijackThis sieht es in der aktuellen Version nicht, wie unter Merijn.org nachzulesen ist.

    Bei Sysinternals kann man Details über die Ursache des Desasters erfahren, es geht im wesentlichen um die Definition der Trennzeichen von Zeichenketten, die in der win32-API im Gegensatz zur nativen API als Null-terminierte ANSI (8bit) interpretiert werden. So können bestimmte Zeichenketten nicht als solche erkannt werden, und alle Programme die sich in Windows auf diese API verlassen, sind auf diesem Auge folglich blind, wohingegen der Windows-Kern mit seiner nativen API (16Bit UNICODE) die entsprechenden Strings sehr wohl erkennt und auch ausführt, und das schon während des Systemstarts.

    Außerdem werden lt. Board Protectus alle Einträge unterschlagen, die länger als 255 Zeichen lang sind.

    Der Blick in die Registrierung ist nicht mehr länger der Garant dafür, ein sauberes System zu haben.

    Zum Glück gibt es aber einige Programme, die auch diese "unsichtbaren" Registrierungseinträge zutage fördern. Der Registrierungseditor regedt32.exe unter Windows 2000 (und nur dieser!) hat den durchdringenden Blick. Anders unter Windows XP, in allen Versionen dieses Betriebssystems ist man ausschließlich(!) auf das wenig komfortabele Komandozeilenwerkzeug reg.exe angewiesen, um Unsichtbares sichtbar zu machen, sofern man nicht geeignete Drittanbietersoftware verwendet.

    Wenigstens die kritischen Schlüssel, die beim Systemstart Prozesse laden, z.B.
    Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
    Hkey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    ...
    sollte man einmal auf diese Weise unter die Lupe nehmen.

    Ich hoffe mal, da gibt es dann keine unangenehmen Überraschungen...


    Grüße
    Funkenzupfer.


    Quelle: Windows Registry Editor Utility String Concealment Weakness - Advisories - Secunia

    \"Wo kämen wir hin, wenn alle sagten, wo kämen wir hin, und niemand ginge, um einmal zu schauen, wohin man käme, wenn man ginge.\" (Kurt Marti)

    Zitat

    ...das wenig komfortabele Komandozeilenwerkzeug reg.exe angewiesen...

    Kommandozeilentools sind der Mehrheit wohl immer unkomfortabel.

    Dafür entgeht reg.exe nichts, weder unter 2k noch xp.

    Eine Minibeschreibung, wie man das ausliest...

    reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run /s

    reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /s

    ...wäre angebracht gewesen. Schlüssel, die wie Windows NT Leerzeichen enthalten sind dann komplett in Anführungszeichen zu setzen.

    btw:reg.exe verfügt nun wirklich mal über eine excellente Hilfe inkl. angezeigter Kommandobeispiele.

    Mit reg /? gehts los.

    Anzugebende Dateien wie z.B. bei reg export müssen nicht .reg als Dateiendung haben.
    .txt wird ebenso angenommen. Dies beugt dem Doppelklick auf eine Reg.Datei vor. Kann ja später immer noch umbenannt werden.

    Da Doskey in der Shell unter XP Standard ist, kann natürlich per F7-Taste auch durch den Befehlsspeicher gescrollt werden. Die ESC-Taste schließt den Speicher wieder.

    hope dies last

    tschöö... ast

    Natürlich bedarf die Verwendung von reg.exe für viele unserer Mitglieder noch einer weiteren Erläuterung, dessen war ich mir durchaus bewußt. Ich bin sicher, mit zwei Zeilen ist es da nicht getan, ich dachte da eher an ein ganzes Tutorial darüber... Dafür war es mir ehrlichgesagt zu spät, denn auch ein Mod hat mal Feierabend, schau halt mal auf die Uhrzeit des Eintrages, zu der ich mir diesen Artikel noch aus den Fingern geleiert habe. ;)

    Bis das Tutorial fertig ist, hier noch ein paar Tipps zum Umgang mit der Befehlszeile in XP, als Ergänzung Deiner ersten Anmerkungen:

    Lange Registrierschlüssel werden normalerweise unübersichtlich mehrfach umgebrochen. Dies kann man verhindern indem man die Fensterbreite (Fensterpuffer und Fenstergröße in den Einstellungen im Menü Datei des CMD-Fensters) auf den für die jeweilige Bildschirmauflösung maximal möglichen Wert einstellt, bei mir ist z.B. eine Breite von 177 bildschirmfüllend, die meisten Einträge werden damit bereits nicht mehr umgebrochen.

    Verschwinden Zeilen nach oben im Nirvana, bevor man Gelegenheit hatte sie zu lesen, muß man den Wert für die Höhe des Fensterpuffers erhöhen, bei mir steht er standardmäßig auf 400, für besondere Aufgaben kann er aber auch wesentlich höher gestellt werden, die Grenze liegt bei 9999, was natürlich genügend Arbeitsspeicher voraussetzt: Pro Fenster werden dann 3MB Arbeitsspeicher benötigt, ein Wert, den Windows einer expliziten Warnung für wert erachtet...

    Nun kann man à la Linux genüßlich durch die vorangegangenen Befehle und ihre Ergebnisse scrollen, ohne auf Filter wie |more oder Befehlsoptionen wie /p angewiesen zu sein. Auch wenn's mal etwas länger wird.

    (genug für heute, aber: to be continued...)


    Grüße
    Funkenzupfer.

    \"Wo kämen wir hin, wenn alle sagten, wo kämen wir hin, und niemand ginge, um einmal zu schauen, wohin man käme, wenn man ginge.\" (Kurt Marti)

    Boah...das Shellfenster umodeln für die Ausgabe?
    Eine Umleitung in eine Datei scheint mir jedenfalls einfacher, zumindest übersichtlicher.

    reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run /s >datei.txt

    Null Speicherbelastung und ein ruhiges Lesen per Texteditor der eigenen Wahl.

    Wer ein Office sein Eigen nennt, gibt gleich datei.xls an und kann das dann äußerst übersichtlich in einer Exceltabelle ansehen.

    Openoffice kann das btw dann wohl auch öffnen. Mir fehlt da jetzt aber die passende Endung. :lol:

    So ein Tut tut aber bestimmt gut hier. :mrgreen:

    hope dies last

    tschöö... ast

    Zitat

    Eine Umleitung in eine Datei scheint mir jedenfalls einfacher, zumindest übersichtlicher.

    Ja, schon, eine gute Ergänzung. Aber dann bitte Vorsicht mit der Zeichenkodierung... Da hab ich ja schon die dollsten Sachen zu sehen bekommen, insbesondere was Sonderzeichen anbelangt... Da kommt wenn man nicht aufpasst beim öffnen im Texteditor (oder in Excel) unter Windows nicht zwingend immer das heraus, was man unter DOS hineingepackt hat :)

    Grüße
    Funkenzupfer.

    \"Wo kämen wir hin, wenn alle sagten, wo kämen wir hin, und niemand ginge, um einmal zu schauen, wohin man käme, wenn man ginge.\" (Kurt Marti)