PC-Experience (http://www.pc-experience.de/wbb2/index.php)
- Artikel und Workshops : (http://www.pc-experience.de/wbb2/board.php?boardid=60)
-- Windows NT, 2000, XP, Tipps und Tricks : (http://www.pc-experience.de/wbb2/board.php?boardid=20)
--- Windows XP: Unsichtbare Einträge in der Registry aufspüren (http://www.pc-experience.de/wbb2/thread.php?threadid=21173)


Geschrieben von Cerberus am 01.05.2006 um 13:57:

Achtung Windows XP: Unsichtbare Einträge in der Registry aufspüren





Das Aufspüren von Malware (Viren,Trojanern, Würmern usw.) gestaltet sich immer schwieriger, da sich diese Schädlinge mittlerweile zu verbergen wissen. Dies gilt insbesondere auch für Rootkits, die ihren Aufenthalt im System geschickt verschleiern und nur durch einigen Aufwand überhaupt zu identifizieren sind. Systeme, auf denen Rootkits installiert sind, werden von Crackern für Angriffe genutzt und um Informationen zu sammeln.
Leider ist Microsofts Registry-Editor Regedit.exe bei der Suche nach Rootkits ->Trojaner- und Wurmeinträgen oder anderen eingeschlichenen Autostarts auf dem PC nicht sonderlich hilfreich, da es Registry-Einträge vom Typ "Zeichenfolge" (REG_SZ) mit mehr als 255 Zeichen langen Namen ignoriert und nicht anzeigt.
Darüber hinaus werden nicht nur Registry-Werte mit überlangen Namen vom Typ REG_SZ ausgeblendet, sondern auch Einträge aller anderen Typen.
Etwas konkreter:
In einem Schlüssel beispielsweise, in dem ein Eintrag mit einem zu langen Namen erstellt wurde, blendet Regedit alle später angelegten Einträge aus. Sofern die nachträglich dazugekommenen Einträge korrekt sind, wertet Windows sie jedoch im Unterschied zu den Einträgen mit den überlangen Namen aus. Auf diese Weise könnten Autostarts in der Registry verankert sein, die Windows zwar ausführt, Regedit jedoch nicht anzeigt.
Regedit.exe blendet auch Schlüssel aus, allerdings ist hier nicht die Länge des Schlüsselnamens entscheidend, sondern die auf 256 Zeichen begrenzte Länge des kompletten Pfades, also etwa HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
Nun käme eigentlich der Einwand, "dann nimm doch Regedt32.exe, da gibts diese Probleme nicht, da du dort mehr Rechte und Möglichkeiten hast..."
Dieser Hinweis fruchtet leider nicht, denn dieses mächtige Tool existiert unter Windows XP nur noch als Wrapper (ein Programm, das als Interface zwischen dem aufrufenden und dem umschlossenen Programmcode agiert) auf Regedit.exe und kann im Gegensatz zu Windows NT und Windows 2000 leider nicht mehr separat gestartet werden. Mit anderen Worten, wenn man Regedt32.exe aufruft, wird lediglich Regedit.exe ausgeführt.



Was kann man also tun, um eventuell schädliche Einträge dennoch aufzuspüren?


Die erste Antwort gibt uns ein windowseigenes Tool, das uns zumindest bei der Suche behilflich ist: das Kommandozeilentoll Reg.exe

Das Tool rufen wir folgendermaßen auf:

Start ->Ausführen ->cmd ->mit Enter bestätigen

In der Eingabeaufforderung dann folgenden String eingeben:

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run



So sehen wir alles, was zur Zeit tatsächlich im Autostartbereich läuft, in unserem Beispiel also der Virenscanner und die Desktop Firewall.

Über den String reg query /? können wir weitere Optionen auflisten.



Schön und gut, aber wer nicht weiß, wo er konkret in der Registry suchen soll, wird diese Option sicherlich nicht gerade begrüßen, zumal sich so keine entsprechenden Einträge beseitigen lassen...

In solchen Fällen bieten sich andere Tools an, die sehr viel effektiver arbeiten, zumal man mit ihrer Hilfe auch gleich schädliche Inhalte elimieren kann:

Autoruns von Sysinternals




Dieses hervorragende Tool zeigt uns unglaublich viele mögliche Parameter an, darunter natürlich auch auf dem Startbild (Everything), was real auf dem System läuft.
Man sollte aber sinnvollerweise die signierten Microsoft Entries verstecken, sowie Code Signaturen verifizieren lassen:





Mit einem Rechtsklick auf den jeweiligen Eintrag, könnten wir ihn nun bei Bedarf aus dem System verbannen.

Ob dies bei den immer verschlageneren Rootkits aureicht, sei mal dahingestellt, aber auch dafür hat Sysinternals ein Tool parat:

RootkitRevealer


Darüber hinaus ist auch das Reinigungstool Blacklight von F-Secure sehr empfehlenswert:

Blacklight


und hat ein weiteres Aufspürtool für Rootkits von Sophos hat sich dazugesellt:

Sophos Anti-Rootkit



Ihr seht, auch bei widerspenstig eingenistetmr Malware oder unerwünschten Autostarteinträgen, steht der User nicht allein, es gibt Mittel und Wege, um auch aus solchen Situationen heraus eine Lösung zu finden...




weiterführende Links:

Safer Surfen...der Sicherheitsworkshop





Cerberus


Forensoftware: Burning Board , entwickelt von WoltLab GmbH