PC-Experience - IT-Portal für Reviews, Artikel, Windows Tipps und Problemlösungen -

PC-Experience
Registerdie Foren-RegelnForen-FAQsImpressum und Datenschutzunser Partner-BlogSearchKalenderMitgliederlisteunsere Downloadübersichtzu unseren ArtikelnTutorialsZur Startseitezur Forenübersicht



PC-Experience » Artikel und Workshops : » Windows NT, 2000, XP, Tipps und Tricks : » Windows XP: Unsichtbare Einträge in der Registry aufspüren » Hello Guest [Login|Register]
Last Post | First Unread Post Print Page | Recommend to a Friend | Add Thread to Favorites
Post New Thread Thread is closed
Go to the bottom of this page Windows XP: Unsichtbare Einträge in der Registry aufspüren
Author
Post « Previous Thread | Next Thread »
Cerberus $posts[username] is a male
Chefredakteur


Registration Date: 23.07.2002
Posts: 11,624
Herkunft: Lübeck

Achtung Windows XP: Unsichtbare Einträge in der Registry aufspüren Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

Unsichtbare Einträge in der Registry aufspüren







Das Aufspüren von Malware (Viren,Trojanern, Würmern usw.) gestaltet sich immer schwieriger, da sich diese Schädlinge mittlerweile zu verbergen wissen. Dies gilt insbesondere auch für Rootkits, die ihren Aufenthalt im System geschickt verschleiern und nur durch einigen Aufwand überhaupt zu identifizieren sind. Systeme, auf denen Rootkits installiert sind, werden von Crackern für Angriffe genutzt und um Informationen zu sammeln.
Leider ist Microsofts Registry-Editor Regedit.exe bei der Suche nach Rootkits ->Trojaner- und Wurmeinträgen oder anderen eingeschlichenen Autostarts auf dem PC nicht sonderlich hilfreich, da es Registry-Einträge vom Typ "Zeichenfolge" (REG_SZ) mit mehr als 255 Zeichen langen Namen ignoriert und nicht anzeigt.
Darüber hinaus werden nicht nur Registry-Werte mit überlangen Namen vom Typ REG_SZ ausgeblendet, sondern auch Einträge aller anderen Typen.
Etwas konkreter:
In einem Schlüssel beispielsweise, in dem ein Eintrag mit einem zu langen Namen erstellt wurde, blendet Regedit alle später angelegten Einträge aus. Sofern die nachträglich dazugekommenen Einträge korrekt sind, wertet Windows sie jedoch im Unterschied zu den Einträgen mit den überlangen Namen aus. Auf diese Weise könnten Autostarts in der Registry verankert sein, die Windows zwar ausführt, Regedit jedoch nicht anzeigt.
Regedit.exe blendet auch Schlüssel aus, allerdings ist hier nicht die Länge des Schlüsselnamens entscheidend, sondern die auf 256 Zeichen begrenzte Länge des kompletten Pfades, also etwa HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
Nun käme eigentlich der Einwand, "dann nimm doch Regedt32.exe, da gibts diese Probleme nicht, da du dort mehr Rechte und Möglichkeiten hast..."
Dieser Hinweis fruchtet leider nicht, denn dieses mächtige Tool existiert unter Windows XP nur noch als Wrapper (ein Programm, das als Interface zwischen dem aufrufenden und dem umschlossenen Programmcode agiert) auf Regedit.exe und kann im Gegensatz zu Windows NT und Windows 2000 leider nicht mehr separat gestartet werden. Mit anderen Worten, wenn man Regedt32.exe aufruft, wird lediglich Regedit.exe ausgeführt.



Was kann man also tun, um eventuell schädliche Einträge dennoch aufzuspüren?


Die erste Antwort gibt uns ein windowseigenes Tool, das uns zumindest bei der Suche behilflich ist: das Kommandozeilentoll Reg.exe

Das Tool rufen wir folgendermaßen auf:

Start ->Ausführen ->cmd ->mit Enter bestätigen

In der Eingabeaufforderung dann folgenden String eingeben:

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run



So sehen wir alles, was zur Zeit tatsächlich im Autostartbereich läuft, in unserem Beispiel also der Virenscanner und die Desktop Firewall.

Über den String reg query /? können wir weitere Optionen auflisten.



Schön und gut, aber wer nicht weiß, wo er konkret in der Registry suchen soll, wird diese Option sicherlich nicht gerade begrüßen, zumal sich so keine entsprechenden Einträge beseitigen lassen...

In solchen Fällen bieten sich andere Tools an, die sehr viel effektiver arbeiten, zumal man mit ihrer Hilfe auch gleich schädliche Inhalte elimieren kann:

Autoruns von Sysinternals




Dieses hervorragende Tool zeigt uns unglaublich viele mögliche Parameter an, darunter natürlich auch auf dem Startbild (Everything), was real auf dem System läuft.
Man sollte aber sinnvollerweise die signierten Microsoft Entries verstecken, sowie Code Signaturen verifizieren lassen:





Mit einem Rechtsklick auf den jeweiligen Eintrag, könnten wir ihn nun bei Bedarf aus dem System verbannen.

Ob dies bei den immer verschlageneren Rootkits aureicht, sei mal dahingestellt, aber auch dafür hat Sysinternals ein Tool parat:

RootkitRevealer


Darüber hinaus ist auch das Reinigungstool Blacklight von F-Secure sehr empfehlenswert:

Blacklight


und hat ein weiteres Aufspürtool für Rootkits von Sophos hat sich dazugesellt:

Sophos Anti-Rootkit



Ihr seht, auch bei widerspenstig eingenistetmr Malware oder unerwünschten Autostarteinträgen, steht der User nicht allein, es gibt Mittel und Wege, um auch aus solchen Situationen heraus eine Lösung zu finden...




weiterführende Links:

Safer Surfen...der Sicherheitsworkshop





Cerberus


__________________
Unsere Suchfunktion , unsere Artikel und Workshops , unsere Forenregeln , Kein Support über E-Mail oder PN ! .
01.05.2006 13:57 Cerberus is offline Homepage of Cerberus Search for Posts by Cerberus Add Cerberus to your Buddy List
Tree Structure | Board Structure
Post New Thread Thread is closed
PC-Experience » Artikel und Workshops : » Windows NT, 2000, XP, Tipps und Tricks : » Windows XP: Unsichtbare Einträge in der Registry aufspüren


Powered by Burning Board © 2001-2015 WoltLab GbR
Designed by PC-Experience.de, online seit 06.August 2002
Copyright © 2002 - 2016 PC-Experience.de