OldMaster Jun 29 2018 at 17:12

Три коротких истории о реестре Windows

4 min

27K

«Лаборатория Касперского» corporate blogSystem Programming*Development for Windows*

+36

Comments 6

Compiller Jun 29 2018 at 23:14

Ключи с символом конца строки в имени утилита trashreg удаляла.
А глюки файлов реестра из дос утилитой regview смотреть удобно.
Более глобальные поломки файлов кустов реестра легко чинить утилитой rehive

xi-tauw Jun 29 2018 at 23:19

Для выполнения функции NtSetValueKey вам понадобятся права администратора.

Весьма смелое, но очевидно неверное, утверждение. Только если вы имели в виду конкретный случай вашего кода — запись в HKLM-Run. Сама функция нормально работает в допустимых ветках хоть от AppContainer.

OldMaster Jun 29 2018 at 23:35

Да, я имел в виду конкретный случай указанный в примере

tendium Jun 30 2018 at 14:47

И, смею предположить, HKLM-Run упомянуто не просто так. Какой-нить вирусописатель так записывал в ветку, чтобы нельзя было исправить штатными средствами. Я прав? ;)

diversenok Jun 30 2018 at 16:47

Насчёт первого пункта: на CodeProject есть редактор реестра на Native API, который позволяет работать с подобными именами.

msuhanov Nov 4 2018 at 17:37

Как-то пропустил данную статью, поэтому будет некрокомментарий.

Фокус оказался в том, что в Windows 8.1 компания Microsoft изменила механизм сохранения изменений в реестр.

Об этом в Интернете было написано еще в 2016 году. Ну и на ZeroNights я рассказывал как раз про случай с KRD. ;-)

При перезагрузке Windows система загружала файл SYSTEM и запускала драйвер руткита. Красиво? Красиво.

Есть похожая атака, которая, однако, не требует драйвера. Достаточно прав администратора.