AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

API von Reg.exe

Offene Frage von "richard_boderich"
Ein Thema von Metal_Snake2 · begonnen am 15. Jun 2008 · letzter Beitrag vom 25. Jun 2008
Antwort Antwort
Seite 3 von 3     123   
Dezipaitor

Registriert seit: 14. Apr 2003
Ort: Stuttgart
1.701 Beiträge
 
Delphi 7 Professional
 
#21

Re: API von Reg.exe

  Alt 21. Jun 2008, 16:21
Nein, weil sie es vergessen und dann es einfach lassen. Mich interessiert es, ob es weitergeholfen hat. Dann mache ich mir nämlich einen Link darauf.
Christian
Windows, Tokens, Access Control List, Dateisicherheit, Desktop, Vista Elevation?
Goto: JEDI API LIB & Windows Security Code Library (JWSCL)
  Mit Zitat antworten Zitat
Metal_Snake2

Registriert seit: 19. Nov 2004
134 Beiträge
 
Delphi 7 Personal
 
#22

Re: API von Reg.exe

  Alt 21. Jun 2008, 20:14
also ich hab den autor von OSAM ne mail geschrieben und er hat mir folgende antwort geschrieben:

[...]
We using our technology of direct parsing of system registry, without
using any OS functions. [...]

also lesen sie die registry direkt ein ohne nen Treiber, komisch frag mich wie das gehen soll den die hives werden doch
exlusiv geöffnet.


Jedenfalls ist da wirklich was dran, den auch tools wie "SysInspector" arbeiten nur im Usermode und finden registry Einträge welche übern Kernelmode Rootkit- Treiber versteckt wurden.

Naja mein eigentliches bestrimmen war einfach halt herauszufinden wie diese Progs arbeiten.

Das mit SSDT- Hooks und co ist doch blöd, funzt das überhaupt mit Vista? Ich sollte villeicht mal echt versuchen
die Registry werte aus dem Kernel direkt auszulesen.
  Mit Zitat antworten Zitat
Olli
(Gast)

n/a Beiträge
 
#23

Re: API von Reg.exe

  Alt 21. Jun 2008, 20:24
Zitat von Metal_Snake2:
also ich hab den autor von OSAM ne mail geschrieben und er hat mir folgende antwort geschrieben:

[...]
We using our technology of direct parsing of system registry, without
using any OS functions. [...]

also lesen sie die registry direkt ein ohne nen Treiber, komisch frag mich wie das gehen soll den die hives werden doch
exlusiv geöffnet.
Also erstens wird es wohl kaum ohne OS-Funktionen (die umgehen einfach die Registry-APIs) gehen ... und zweitens, wer sagt dir denn, daß die keinen Treiber einsetzen? Den kann man doch Huckepack an die EXE hängen und bei Bedarf installieren.

Zitat von Metal_Snake2:
Das mit SSDT- Hooks und co ist doch blöd, funzt das überhaupt mit Vista? Ich sollte villeicht mal echt versuchen die Registry werte aus dem Kernel direkt auszulesen.
Ja, es funktioniert bei 32bit Vista problemlos und bei 64bit Vista kann man es (wg. PatchGuard) mit ein wenig Arbeit auch erreichen. Microsoft bietet aber seit SP1 unter NDA für ISVs eine API an um sowas wie Hooks dokumentiert zu erlauben. Aber eben unter NDA.
  Mit Zitat antworten Zitat
Benutzerbild von richard_boderich
richard_boderich

Registriert seit: 21. Jun 2004
Ort: Berlin
1.067 Beiträge
 
Delphi 7 Architect
 
#24

Re: API von Reg.exe

  Alt 22. Jun 2008, 06:58
@Metal Snake

Zitat:
We using our technology of direct parsing of system registry.
Zitat Ende

Diese Aussage bedeutet nicht das sie keinen Treiber benutzten, sondern das sie die Registry Binär öffnen und die einzelnen
Keys parsen. (also die Strings suchen)

Zitat:
Ich sollte villeicht mal echt versuchen die Registry werte aus dem Kernel direkt auszulesen.
Zitat Ende

Aus dem Kernel direkt kannst du nix auslesen. Du kannst entweder die entsprechenden APis im Usermode nutzen (dort sind es die NT-Funktionen, also die Native APis die auf dem niedrigsten Level zugreifen) oder im Kernelmode die ZW-Funktionen. (das geht nur via Treiber)
Und damit siehts in Delphi mau aus.

mfG Richard

//Edit kannst du mir mal bitte per PN das/den Rootkit/keylogger schicken mit dem du testest?
mfG Richard

Cimmams schrieb "das einzige was an ArmA gut ist, ist die Grafik bis 100m und der Rest ist so unreal wie unsere Demokratie."
  Mit Zitat antworten Zitat
Metal_Snake2

Registriert seit: 19. Nov 2004
134 Beiträge
 
Delphi 7 Personal
 
#25

Re: API von Reg.exe

  Alt 25. Jun 2008, 17:17
Also es gibt hier ein open source Dos Registry Viewer klack.
Es wurde in Pascal geschrieben und wird mit Open Pascal kompiliert.

Könnte ich nun die hives welche in "system32\config" sind so nun Binär auslesen?
Oder hat jemand eine Delphi fähige version?
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 3 von 3     123   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 19:53 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz