[HaBo]

norbertd · 17.02.06, 11:06

Hi Hackers,

ich habe eine Möglichkeit gefunden, in der Registry einen versteckten Eintrag zu platzieren, der sich ansonsten genauso verhält wie jeder andere auch, wenn sein Schlüssel bekannt ist.

FRAGE:
Weiß jemand von Euch, ob es auch möglich ist, versteckte Einträge in der Registry zu finden, deren Schlüssel unbekannt sind?

Norbert

silenced · 17.02.06, 11:10

Nein, jedenfalls nicht direkt,

du kannst aber mit überlangen einträgen das Löschen verhinder (wurde mal von einer Malware verwendet) oder mit aktiven prozessen eine andere registry unterjubeln.

cu

Anzeige

- Anzeige -

norbertd · 17.02.06, 11:16

Nun, wenn ich eine Routine schreiben würde, die nach einem Schlüssel sucht, in dem ein String mit mehr als 256 und weniger als 261 Zeichen enthalten ist, sollte es doch eigentlich funktionieren, oder?

Norbert

silenced · 17.02.06, 11:21

was möchstest du denn auslesen ?
in der Registry ?

Du kannst wahrscheinlich nicht nach 261 Byte langen schlüsseln suchen wenn diese "verboten" sind.

norbertd · 17.02.06, 11:26

Ich möchte ganz einfach wissen, welche Programminstallation mir Daten auf den Rechner geschrieben hat, die ich nicht kontrollieren kann.

Ich bin sicher, daß es einen Weg gibt, Strings, die ich in die Registry schreiben kann, ganz gleich welche, auch wieder auszulesen vermag. Die Registry kann nicht zum Lesen ein Null Device sein, wenn sie dies zum Schreiben nicht ist.

Norbert

silenced · 17.02.06, 11:31

Hmm, ich weis jetzt nicht auf welchem "Level" du mit PC´s zu tun hast ?

Quasi als "noob":
Regedit ist der Editor für die Registry

Quasi als "semi":
http://www.sysinternals.com/Utilities/Regmon.html

Quasi als "Pro":
Binary Compare der der Reg (vorher/nachher)

cu

norbertd · 17.02.06, 11:47

Hihi, als Pro seit 1972 ;-)

Hab's gerade gelöst, das Problem. Es geht!
Im Anhang die Funktion, die man Rekursiv aufrufen muß, um alle primären Schlüssel durchzukämmen. Filterkriterium: Länge des Strings im Schlüssel-Root-Eintrag. Wenn etwas am Kamm hängenbleibt, dann anzeigen lassen.

Ich leg sie zum Allgemeinverständnis in PowerBasic anbei.
(Die WinAPI Deklarationen liefere ich natürlich nicht mit.)

Norbert

Function RegValueGet(Root&, Key$, Field$, Value As Variant) As Long
LOCAL Result&, hKey&, dwType&, Lng&, Buffer$, l&
'Wert aus einem Feld der Registry auslesen
Result = RegOpenKeyEx(Root, Key, 0, KEY_READ, hKey)
If Result = ERROR_SUCCESS Then
Result = RegQueryValueEx(hKey, Field, 0&, dwType, ByVal 0&, l)
If Result = ERROR_SUCCESS Then
Select Case dwType
Case REG_SZ
Buffer = Space$(l + 1)
Result = RegQueryValueEx(hKey, Field, 0&, dwType, ByVal Buffer, l)
If Result = ERROR_SUCCESS Then Value = Buffer
Case REG_DWORD
Result = RegQueryValueEx(hKey, Field, 0&, dwType, Lng, l)
If Result = ERROR_SUCCESS Then Value = Lng
End Select
End If
End If
If Result = ERROR_SUCCESS Then Result = RegCloseKey(hKey)
RegValueGet = Result
End Function

Anzeige

- Anzeige -

17.02.06, 11:06	#1 (permalink)
norbertd Registriert seit: 09.01.06 Likes: 0	Versteckten Eintrag in Registry finden Anzeige Hi Hackers, ich habe eine Möglichkeit gefunden, in der Registry einen versteckten Eintrag zu platzieren, der sich ansonsten genauso verhält wie jeder andere auch, wenn sein Schlüssel bekannt ist. FRAGE: Weiß jemand von Euch, ob es auch möglich ist, versteckte Einträge in der Registry zu finden, deren Schlüssel unbekannt sind? Norbert

17.02.06, 11:16	#3 (permalink)
norbertd Themenstarter Registriert seit: 09.01.06 Likes: 0	Versteckter Eintrag in Registry Nun, wenn ich eine Routine schreiben würde, die nach einem Schlüssel sucht, in dem ein String mit mehr als 256 und weniger als 261 Zeichen enthalten ist, sollte es doch eigentlich funktionieren, oder? Norbert

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Vb Reg .eintrag erzeugen	Cracker	Code Kitchen	7	12.02.06 12:57
Ich kann alle im Netzwerk finden, mich kann man auch finden aber nicht zugreifen	Strahl	Network · LAN, WAN, Firewalls	11	21.07.05 16:52
Versteckten IRC Channel finden?	Flexball	(In)security allgemein	7	04.04.04 20:55
Registry-Eintrag	Gismon	Windows	0	18.12.03 21:48
Suche C-Source für den Eintrag eines Programmes in die Win-Registry	Rushjo	Code Kitchen	5	17.09.02 17:57

17.02.06, 11:10	#2 (permalink)
silenced Senior Member Registriert seit: 23.12.03 Likes: 0	Nein, jedenfalls nicht direkt, du kannst aber mit überlangen einträgen das Löschen verhinder (wurde mal von einer Malware verwendet) oder mit aktiven prozessen eine andere registry unterjubeln. cu

17.02.06, 11:21	#4 (permalink)
silenced Senior Member Registriert seit: 23.12.03 Likes: 0	was möchstest du denn auslesen ? in der Registry ? Du kannst wahrscheinlich nicht nach 261 Byte langen schlüsseln suchen wenn diese "verboten" sind.

17.02.06, 11:26	#5 (permalink)
norbertd Themenstarter Registriert seit: 09.01.06 Likes: 0	Ich möchte ganz einfach wissen, welche Programminstallation mir Daten auf den Rechner geschrieben hat, die ich nicht kontrollieren kann. Ich bin sicher, daß es einen Weg gibt, Strings, die ich in die Registry schreiben kann, ganz gleich welche, auch wieder auszulesen vermag. Die Registry kann nicht zum Lesen ein Null Device sein, wenn sie dies zum Schreiben nicht ist. Norbert

17.02.06, 11:31	#6 (permalink)
silenced Senior Member Registriert seit: 23.12.03 Likes: 0	Hmm, ich weis jetzt nicht auf welchem "Level" du mit PC´s zu tun hast ? Quasi als "noob": Regedit ist der Editor für die Registry Quasi als "semi": http://www.sysinternals.com/Utilities/Regmon.html Quasi als "Pro": Binary Compare der der Reg (vorher/nachher) cu

17.02.06, 11:47	#7 (permalink)
norbertd Themenstarter Registriert seit: 09.01.06 Likes: 0	Hihi, als Pro seit 1972 ;-) Hab's gerade gelöst, das Problem. Es geht! Im Anhang die Funktion, die man Rekursiv aufrufen muß, um alle primären Schlüssel durchzukämmen. Filterkriterium: Länge des Strings im Schlüssel-Root-Eintrag. Wenn etwas am Kamm hängenbleibt, dann anzeigen lassen. Ich leg sie zum Allgemeinverständnis in PowerBasic anbei. (Die WinAPI Deklarationen liefere ich natürlich nicht mit.) Norbert Function RegValueGet(Root&, Key$, Field$, Value As Variant) As Long LOCAL Result&, hKey&, dwType&, Lng&, Buffer$, l& 'Wert aus einem Feld der Registry auslesen Result = RegOpenKeyEx(Root, Key, 0, KEY_READ, hKey) If Result = ERROR_SUCCESS Then Result = RegQueryValueEx(hKey, Field, 0&, dwType, ByVal 0&, l) If Result = ERROR_SUCCESS Then Select Case dwType Case REG_SZ Buffer = Space$(l + 1) Result = RegQueryValueEx(hKey, Field, 0&, dwType, ByVal Buffer, l) If Result = ERROR_SUCCESS Then Value = Buffer Case REG_DWORD Result = RegQueryValueEx(hKey, Field, 0&, dwType, Lng, l) If Result = ERROR_SUCCESS Then Value = Lng End Select End If End If If Result = ERROR_SUCCESS Then Result = RegCloseKey(hKey) RegValueGet = Result End Function

[HaBo]

Versteckten Eintrag in Registry finden