[HaBo]

Antibus · 14.05.07, 21:20

Mir ist aufgefallen das mein Kumpel eine Protable Alkohol 120% Version hat. Wenn er es startet weis ich bis jetzt das sich das teil in einen Temporeräen Ordner Installiert. Von meiner Version weis ich aber das Alkohol auch nen Reg.Eintrag macht, also muss bei dieser Portable-Version entweder der nötige RegEintarg deaktiviert worden sein oder die Registry auch Temporär vorgetäuscht.

(Funktioniert auch bei Eingeschränkten Userrechten und mit nem Emulator unter Linux)

Meine Frage ist jetzt, wie das gehen kann. Also Temporär eine Registry vortäuschen. Oder könnt ihr mir ein Programm raten mit dem ich überwachen kann was genau passiert.

mfg Anti

**CDW** · 14.05.07, 21:31

Zitat:

Meine Frage ist jetzt, wie das gehen kann

ein möglicher Ansatz:
http://www.buha.info/board/showthread.php?t=53744
Oder ein Programm:
http://www.sandboxie.com/

Antibus · 14.05.07, 21:39

danke, ich schaus mir gleich mal an.

Henni · 29.05.07, 12:38

Nach meinen Infos braucht alles was mit dem .NET Framework programmiert wurde keine Registry mehr. So isses auch in Windows Vista gemacht, des hat nähmlich gar keine Registry mehr, oder?^^ wenn ich was falsches erzähle sagt bescheid xD

mfg
Henni

**Mackz** · 29.05.07, 12:51

Zitat:

Original von Henni
So isses auch in Windows Vista gemacht, des hat nähmlich gar keine Registry mehr, oder?^^

Nein, das stimmt nicht.
Womit du das vielleicht verwechselst, ist die Tatsache, das Vista (auch Teil der UAC) die Registry und das Dateisystem virtualisiert, sobald in einen geschützten Bereich geschrieben werden soll, z.b. von einem älteren, eigentlich inkompatiblen Programm. Das landet dann in HKEY_CURRENT_ USER/Software/Classes/VirtualStore sowie \Users\<user>\ AppData\Local\VirtualStore

Oder du verwechselst das mit dem "Protected Mode" im IE7 in Vista, der Registry sowie Dateisystem virtualisiert und so Malware das eigentliche System nicht schaden kann, da es nur innerhalb dieser Sandbox läuft, die sich automatisch löscht wenn der IE geschlossen wird.

14.05.07, 21:20	#1 (permalink)
Antibus Registriert seit: 03.02.07 Karma: 7	Registry vortäuschen? Mir ist aufgefallen das mein Kumpel eine Protable Alkohol 120% Version hat. Wenn er es startet weis ich bis jetzt das sich das teil in einen Temporeräen Ordner Installiert. Von meiner Version weis ich aber das Alkohol auch nen Reg.Eintrag macht, also muss bei dieser Portable-Version entweder der nötige RegEintarg deaktiviert worden sein oder die Registry auch Temporär vorgetäuscht. (Funktioniert auch bei Eingeschränkten Userrechten und mit nem Emulator unter Linux) Meine Frage ist jetzt, wie das gehen kann. Also Temporär eine Registry vortäuschen. Oder könnt ihr mir ein Programm raten mit dem ich überwachen kann was genau passiert. mfg Anti

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
IP vortäuschen	9999	(In)security allgemein	3	20.10.07 20:57
win XP Professional "vortäuschen"	RedEagle	Windows	3	19.08.06 13:14
Registry	8ball	Windows	6	02.10.04 19:40
Registry	Frosty	Code Kitchen	0	30.06.04 16:07

14.05.07, 21:39	#3 (permalink)
Antibus Themenstarter Registriert seit: 03.02.07 Karma: 7	danke, ich schaus mir gleich mal an.

29.05.07, 12:38	#4 (permalink)
Henni Registriert seit: 03.01.07 Karma: 7	Nach meinen Infos braucht alles was mit dem .NET Framework programmiert wurde keine Registry mehr. So isses auch in Windows Vista gemacht, des hat nähmlich gar keine Registry mehr, oder?^^ wenn ich was falsches erzähle sagt bescheid xD mfg Henni

[HaBo]

Registry vortäuschen?