Comments 6
Ключи с символом конца строки в имени утилита trashreg удаляла.
А глюки файлов реестра из дос утилитой regview смотреть удобно.
Более глобальные поломки файлов кустов реестра легко чинить утилитой rehive
+1
Для выполнения функции NtSetValueKey вам понадобятся права администратора.
Весьма смелое, но очевидно неверное, утверждение. Только если вы имели в виду конкретный случай вашего кода — запись в HKLM-Run. Сама функция нормально работает в допустимых ветках хоть от AppContainer.
+2
Насчёт первого пункта: на CodeProject есть редактор реестра на Native API, который позволяет работать с подобными именами.
0
Как-то пропустил данную статью, поэтому будет некрокомментарий.
Об этом в Интернете было написано еще в 2016 году. Ну и на ZeroNights я рассказывал как раз про случай с KRD. ;-)
Есть похожая атака, которая, однако, не требует драйвера. Достаточно прав администратора.
Фокус оказался в том, что в Windows 8.1 компания Microsoft изменила механизм сохранения изменений в реестр.
Об этом в Интернете было написано еще в 2016 году. Ну и на ZeroNights я рассказывал как раз про случай с KRD. ;-)
При перезагрузке Windows система загружала файл SYSTEM и запускала драйвер руткита. Красиво? Красиво.
Есть похожая атака, которая, однако, не требует драйвера. Достаточно прав администратора.
0
Sign up to leave a comment.
Три коротких истории о реестре Windows