Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Eintrag unter Schlüssel Winlogon von Virus

Frage Sicherheit Viren und Trojaner

Mitglied: xaverdunn

xaverdunn (Level 1) - Jetzt verbinden

02.07.2007, aktualisiert 03.07.2007, 5376 Aufrufe, 3 Kommentare

Hallo,

das ist eine Sache die mich schon lange beschäftigt.
Im Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon gibt es die Zeichenfolge "System" die Standardäßig keinen Wert hat. Viren tragen sich dort ein mit einen Pfad zur eigenen Datei.exe.
Was genau bewirkt dieser Eintrag da "System" eigentlich keine Autostartrampe ist?

Gruß Xaverdunn
Mitglied: gnarff
02.07.2007 um 23:03 Uhr
Hallo xaver!
Bewirkt u.A. dass die betreffende *.exe als Systemdatei erkannt und behandelt wird.
saludos
gnarff
Bitte warten ..
Mitglied: xaverdunn
03.07.2007 um 00:39 Uhr
Hallo gnarff,

das habe ich mir auch schon gedacht, aber was ergibt das für einen Sinn?
Löschen kann man die .exe wie bisher, geschützt wird sie vor dem löschen nicht.
Wiederhergestellt durch System wird sie auch nicht.
Was bewirkt dieser Schutz über den Registyeintrag, weisst du was genauers?

Gruß Xaverdunn
Bitte warten ..
Mitglied: gnarff
03.07.2007 um 03:14 Uhr
Hallo Xaver!

Die Registry und ihr [Miss]-Baruch ist ein ziemlich komplexes Thema und bietet Raum fuer mehr als nur ein Tutorial.

Glaube nicht, nur weil Du einen Schluessel geloescht hast, das er dann auch wirklich geloescht ist.
Ueberlange Schluesselnamen oder Pfadlaengen, werden von der Registry nicht angezeigt, genauso wie Schluessel mit fuehrenden NULL-Zeichen. Die maximale anzeigbare Schluessellaenge betraegt 255 Zeichen, fuer einen erstellten Wert sind dies 16.383 Zeichen.

Sobald etwas in HKEY_LOCAL_MACHINE eingetragen wird, werden damit auch die Unterstuetzungsdateien veraendert.
In diesem Falle koennen also Software, Software.log, Software.sav, aber auch Security, Security.log, Security.sav sowie System, System.alt, System.log, System.sav manipuliert werden.
"HKLM" enthält Konfigurationsinformationen, die für den jeweiligen Computer spezifisch sind und für alle Benutzer gleichermaßen gelten.
Die Windows Registry kennt drei Unterschluessel.

Wenn also etwas in HKEY_LOCAL_MACHINE eingetragen oder modifiziert wird, dann auch in HKEY_CLASSES_ROOT [ Unterschluessel der Vorgenannten "HKLM"] sowie in HKEY_CURRENT_CONFIG.
Ueber die HKEY_CURRENT_CONFIG erreichen wir die System, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log Dateien.

Viele Trojaner sind Downloader oder Dropper, nachdem zunaechst ein schaedlicher Code auf den Rechner geladen wurde, entpackt sich dieser, oft nach einem Neustart, und wird installiert. Danach werden die eigentlichenSchadprogramme nachgeladen.
Wenn es bis zu diesem Punkt gekommen ist, sind die "urspruenglichen" Modifikationen an der Registrierdatenbank obsolet geworden.

Ich hoffe, ich habe mich einigermassen verstaendlich ausgedrueckt. Es ist nicht ganz einfach das Thema in ein paar Zeilen zu quetschen.

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Internet Domänen
gelöst Domain Host Eintrag In Richtfunk Netz (7)

Frage von Betact zum Thema Internet Domänen ...

Router & Routing
AVM entweicht geheimer FritzBox-Schlüssel (5)

Link von mikrotik zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Verschlüsselung & Zertifikate
gelöst Festplattenverschlüsselung im Ausland (13)

Frage von Nicolaas zum Thema Verschlüsselung & Zertifikate ...

Festplatten, SSD, Raid
gelöst Fehlerhafte Blöcke im RAID 10 (12)

Frage von Kojak-LE zum Thema Festplatten, SSD, Raid ...

Batch & Shell
HTML in Batch und Powershell (12)

Frage von michi-ffm zum Thema Batch & Shell ...

Windows Server
gelöst Microsoft-Lizenz CALs und passendes Server-Betriebssystem (12)

Frage von planetIT2016 zum Thema Windows Server ...