Unsichtbare Registry Keys

#1 Laut Heise gibt es Registry-Einträge, die unsichtbar sind. Dies würde die Suche nach verdächtigen Einträgen erschweren. Die unsichtbaren Einträge, die einen REG_SZ Wert von mehr als 255 Zeichen haben, werden dann zwar von Windows ignoriert, jedoch werden auch nachfolgend angelegte Registry-Werte unsichtbar, auch wenn diese korrekte Werte enthalten.

Mehr dazu unter: http://www.heise.de/newsticker/meldung/63221
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#2

Zitat

Die gute Nachricht ist, dass Windows 2000 und XP noch ein weiteres Registry-Tool mitbringen, das anscheinend keine Probleme mit überlangen Einträgen hat. Das Kommandozeilenprogramm "reg.exe" liest diese Einträge mit dem Befehl

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run

aus und zeigt sie in einem Kommandozeilenfenster ("Eingabeaufforderung") an. Hat man auf diese Weise überlange Einträge entdeckt, kann man sie mit Bordmitteln von Windows entfernen.

http://www.pcwelt.de/news/sicherheit/118601/index.html
MfG Merlinx

#3

Zitat

Anwender von Windows 2000 haben allerdings eine Alternative zu Regedit.exe: Regedt32.exe ist ein eigenständiges Programm, das auch zu lange Werte noch anzeigt (und auch sonst mächtiger ist als Regedit.exe).

Anders unter Windows XP: Dort ist Regedt32.exe nur ein Wrapper auf Regedit.exe, die die Einträge nicht anzeigt.

Tja leider musste man in XP ja das bessere Tool entfernen. Den Grund dafür weiß wohl niemand. Wie Microsoft so ihr OS sicherer machen will ist mir schleierhaft.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#4 Auf Regedt32.exe ist auch kein Verlass.

Zitat

Secunia Advisory: SA16560
Igor Franchuk has discovered a weakness in Microsoft Windows, which can be exploited to hide certain information.

The weakness is caused due to an error in the Registry Editor Utility (regedt32.exe) when handling long string names. This can be exploited to hide strings in a registry key by creating a string with a long name, which causes this string and any subsequently created strings in the key to be hidden.

---------------------------------------------------

Zitat

Tom Liston has created, out of the kindness of his heart and his deep concern for all of humanity, a recursive registry scanner which will report on values with names in excess of 254 characters. Enjoy!

FILE: (3584 bytes)
»isc.sans.org/LVNSearch.exe
PGP SIGNATURE:
isc.sans.org/LVNSearch.exe.asc
MD5 CHECKSUM
213a9d5e91bc6527e422953ad7175a0d

Gruß
Ajax

#5 Meldung von der Computerwoche vom 29.08.2005

Zitat

MÜNCHEN (COMPUTERWOCHE) - Sicherheitsexperten zufolge können Bösewichte ihre Malware auf einem Windows-PC verbergen, indem sie übermäßig lange Registrierungsschlüssel verwenden. Zwar durchforsten einige Antivirus- und Anti-Spyware-Produkte die Windows-Registry nach bösartiger Software, aufgrund der neu entdeckten Schwachstelle können Schadprogramme dort jedoch auch unbemerkt ihr Unwesen treiben, so der US-amerikanische Sicherheitsanbieter Stillsecure.

Das SANS Internet Storm Center (ISC) hat vergangene Woche eine Liste von Applikationen veröffentlicht, die sich durch die Verwendung längerer Registrierungsschlüssel austricksen lassen. Aufgeführt sind dort unter anderen "Adaware", Microsofts "Antispyware", "Hijackthis", "Norton SystemWorks 2003 Pro" sowie Microsofts "Windows Registry Editor" und "Windoctor". Für Nutzer sei es wichtig zu wissen, dass ihre lokalen Systeme eventuell einen "toten Winkel" aufweisen, gibt auch SANS-Partner Robert Danford zu bedenken. Er empfiehlt demnach, in den kommenden Wochen auf Produkt-Updates zu achten.

Am wichtigsten seien die so genannten "Run"-Schlüssel in der Registry, die zum Starten von Applikationen beim Booten des PCs verwendet werden. Laut Mitchell Ashley, Chief Technology Officer (CTO) bei Stillsecure, erkennen Microsofts Registry Editor sowie eine Reihe populärer Sicherheitsprogramme überlange Registrierungsschlüssel in der Windows-Registry nicht - und dennoch würden die Applikationen gestartet. "Für Spyware-Programmierer wäre es anhand dieser Technik ein Leichtes, beispielsweise einen Key-Logger auf einem Rechner zu verbergen", so der Experte.
Microsoft ist eigenen Angaben zufolge dabei, der Schwachstelle auf den Grund zu gehen. Allerdings handelt es sich dabei nach Ansicht der Redmonder weniger um ein Sicherheitsloch als vielmehr um eine Funktion innerhalb des Betriebsystems, die missbraucht werden könne.

Nach Angaben von SANS gibt es erste Anhaltspunkte, dass diese von Malware als "Verschleierungstechnik" genutzt wird. Die Schwachstelle wird von Secunia und dem französischen Sicherheitsportal French Security Incident Response Team (FrSIRT) allerdings als "nicht kritisch" beziehungsweise "low risk" eingestuft.

http://www.computerwoche.de/index.cfm?pageid=254&type=detail&artid=80480&category=318
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#6 Jo es gibt dazu was neues>

Zitat

Ein kürzlich entdeckter Schwachpunkt in Windows ermöglicht das Anlegen von versteckten Registry-Einträgen. Wird eine übermäßig langer Eintrag angelegt, sind später hinzu gefügte normale Einträge mit Regedit nicht sichtbar ( wir berichteten ). Nach Bekanntwerden dieser möglichen Gefahr gibt es widersprüchliche Aussagen darüber, welche Programme die versteckten Einträge anzeigen können.

Wir haben eigene Tests gemacht und einige Registry-Tools sowohl unter Windows 2000 als auch unter Windows XP (ohne Service Pack und mit Service Pack 2) geprüft. Dabei zeigt sich, dass es möglich ist, versteckte Registry-Einträge anzulegen, die beim Starten von Windows verarbeitet werden, auch wenn zuvor ein überlanger Eintrag eingefügt wird.

Windows 2000 wird anscheinend von den Programmierern stiefmütterlich behandelt. Selbst die Programme, die alle Einträge unter XP korrekt anzeigen, schaffen dies nicht unter Windows 2000. Unter Windows XP können sie die überlangen Einträge auch wieder entfernen - das Programm von Vilma stürzt dabei zwar ab, entfernt jedoch zuvor den langen Eintrag. Das Kommandozeilenprogramm "reg.exe" muss unter Windows 2000 von der Windows-CD nachinstalliert werden (Ordner \Support\Tools\Support.cab)

http://www.pcwelt.de/news/sicherheit/118750/index.html
MfG Merlinx

#7 @Merlinx,

Zitat

Naja auch nichts neues aber Intressant.> (...)

Wie treffend

Denn bei deinem Posting-(Über)Eifer hast du mal wieder übersehen, dass du uns da absolut nichts Neues mitteilst. "Paff" war einfach gut zehn Stunden - und damit zwei Beiträge im Thread - früher dran als du.
Scroll mal ein klitzekleinwenig nach oben, oder klick einfach hier

http://board.protecus.de/t19058.htm#197178
drauf.

Gruß
RollaCoasta

UPDATE (03:53h):
Na, nun hast du's ja doch "bereinigt"
__________
U can get it if u really want! (J.Cliff)

#8 @Rolla Coasta
Schon gelöscht!Zu frieden!! :
Mfg Merlinx

#9 Also wieder eine Art Bufffer-Overflow ?

Wie gelangt etwas Schädiches in die Registry ?
Doch eigentlich nur, wenn man es unter einem Admin-Konto installiert, oder nicht ?

Wenn man mit einem eingeschränktem Konto surft sollte so etwas doch nur sehr schwer möglich sein, oder irre ich mich da ?

Ein eingeschränktes Konto allein reicht natürlich noch nicht aus ... weiß ich .... es müssen noch ein paar andere Vorkehrungen getroffen werden (Firewall, Virenscanner, MalWare-Scanner wie z.B. SpyBot, etc.)



Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#10 ...laut heise besteht aber kein sicherheitsrisiko, weil sich versteckte programme in der autorun NICHT starten lassen.
die computerwoche berichtet da was anderes. hm was stimmt denn nun??
werd mich mal hinsetzen und ein kleines tool programmieren, das ein prog
in der registry versteckt in autorun einträgt... info kommt noch ...

#11 ...also es geht tatsächlich nicht! wenn der REG Key im Autorun
mehr als 2 Leerzeichen am schluss enthält, wird das Programm als
autorun nicht gestartet. ist also keine sicherheitslücke.
OS: Win2k SP4