Fórum Root.cz

Hlavní témata => Windows a jiné systémy => Téma založeno: ondraaaa 18. 02. 2018, 00:17:40

Název: Analýza registrů Windows
Přispěvatel: ondraaaa 18. 02. 2018, 00:17:40: Ahoj snažím se proniknout do tajů registrů Windows.
Problém je takový, sháním nějaký nástroj pro analýzu registrů Windows a zároveň aby monitoroval změny v registrech.
Projíždím internet a nic nemůžu najít.
Název: Re:analýza registrů Windows
Přispěvatel: JardaP . 18. 02. 2018, 00:46:40: Monitorovat registry by mel umet https://docs.microsoft.com/en-us/sysinternals/downloads/procmon . S tou analyzou to bude horsi, podeziram, ze v tom bordelu se nevyzna ani MS, tak si dejte pozor, aby vas neodvezli do blazince.
Název: Re:analýza registrů Windows
Přispěvatel: ondraaaa 18. 02. 2018, 00:55:41: Jo dám super nástroj dík.
Ještě musím najít nějaký nástroj který mě upozorní o novém zápisu do registru.
Název: Re:analýza registrů Windows
Přispěvatel: MD 18. 02. 2018, 01:02:58: Případně by měl na starších systémech (a 32bitových) fungovat i RegMon (taková starší obdoba Procmonu, která umí jen registry), ale nebude asi úplně jednoduché jej najít.
Název: Re:analýza registrů Windows
Přispěvatel: j 18. 02. 2018, 01:53:26: Citace: ondraaaa 18. 02. 2018, 00:55:41
Jo dám super nástroj dík.
Ještě musím najít nějaký nástroj který mě upozorní o novém zápisu do registru.
Tak to se z toho brzo zblaznis, protoze tam se neco zapisuje neustale.
Název: Re:analýza registrů Windows
Přispěvatel: JardaP . 18. 02. 2018, 10:01:38: Citace: ondraaaa 18. 02. 2018, 00:55:41
Ještě musím najít nějaký nástroj který mě upozorní o novém zápisu do registru.

Tak to prave dela ProcMon. Pise a cte se v jednom kuse a pri trose stesti to jde filtrovat podle aplikace, jako v starem RegMonu.
Název: Re:analýza registrů Windows
Přispěvatel: Lol Phirae 18. 02. 2018, 12:47:24: Kód: [Vybrat]
<analýza> binární bordel </analýza>
Název: Re:analýza registrů Windows
Přispěvatel: ? 18. 02. 2018, 13:07:37: A co se tam snažíš najít?
Název: Re:analýza registrů Windows
Přispěvatel: Lojza 18. 02. 2018, 13:46:27: na realtime sledovani muze pomoci i MJ Registry Watcher
https://jacobsm.com/mjsoft.htm

na staticke porovnavani 2 snapshotu, exportovani zmen a tim i snadne odstraneni zmen
https://www.nirsoft.net/utils/registry_changes_view.html

nebo take starsi
https://sourceforge.net/projects/regshot/
Název: Re:analýza registrů Windows
Přispěvatel: nobody(ten pravej) 18. 02. 2018, 17:41:18: ad regmon http://www.stahuj.centrum.cz/utility_a_ostatni/systemove_nastroje/monitoring/regmon/
Název: Re:Analýza registrů Windows
Přispěvatel: ondraaaa 18. 02. 2018, 20:38:48: Díky všem kdyby vás ještě napadli nějaké nástroje nebo zajímavé zkušenosti s analýzou registry Windows budu rád se přiučím od zkušenějších.
Název: Re:Analýza registrů Windows
Přispěvatel: MD 18. 02. 2018, 23:54:23: Citace
kdyby vás ještě napadli nějaké nástroje nebo zajímavé zkušenosti s analýzou registry Windows budu rád se přiučím od zkušenějších.

Záleží, co si pod pojmem "analýza" představujete. Obvykle, pokud nějaké udělátko (specializované) v této oblasti potřebuji, tak si jej jednorázově stvořím.

A ano, registrových operací se provádí opravdu hodně. Berte registr jako strukturované (a teoreticky typované) úložiště malých objemů dat, které je celé načtené v paměti, takže přístupy jsou rychlé. Takže tam najdete nejen čistě konfigurační data, ale některé aplikace je mohou využívat i jako takovou persistencní cache.

Nebo vás zajímá., jak je obsah registru uložen na disku, popř. jaké všechny vylomeniny s ním WIndows API dovolují provádět?
Název: Re:Analýza registrů Windows
Přispěvatel: ondraaaa 19. 02. 2018, 01:03:52: děkuji za odpověď.
Název: Re:Analýza registrů Windows
Přispěvatel: nobody(ten pravej) 19. 02. 2018, 01:56:09: pokud by te zajimala prace z windows registru z GNU/Linuxu:
http://libguestfs.org/hivex.3.html
Název: Re:Analýza registrů Windows
Přispěvatel: Miroslav Šilhavý 19. 02. 2018, 08:18:18: Citace: ondraaaa 19. 02. 2018, 01:03:52
děkuji za odpověď.

1. Regstry obecně nelze analyzovat. Registry jsou jen služba pro ukládání informací, a je na (verzi) systému a aplikaci, aby věděli, jak s uloženou informací naložit.
2. Jsou větve, které mají jasně popsanou funkci, ale neexistuje žádný superkatalog větví registru. Zásahy do registru se řeší ad hoc.
3. Sledovat zápisy do registru "jen tak z principu" je stejně hloupá myšlenka, jako sledovat zápisy do souborů "jen tak z principu". Pro obojí najdete na sysinternals správné a jednoduché nástroje.
Název: Re:Analýza registrů Windows
Přispěvatel: macík 24. 02. 2018, 12:08:18: Existuje něco jako firewall do registru? aby se mi zobrazilo, když nějaká aplikace chce zapsat do /Run, tak rozhodnout, vidět argumenty. Pozor, to je něco jiného než oprávnění (kde se nezapíše a basta a pokud vím, model oprávnění nerozpoznává původce-aplikaci). Možná to trochu zamotá, že některá aplikace budou zapisovat přímo přes funkci API a některé spuštěním podprocesu reg.exe
Název: Re:Analýza registrů Windows
Přispěvatel: Miroslav Šilhavý 24. 02. 2018, 13:15:42: Citace: macík 24. 02. 2018, 12:08:18
Existuje něco jako firewall do registru? aby se mi zobrazilo, když nějaká aplikace chce zapsat do /Run, tak rozhodnout, vidět argumenty. Pozor, to je něco jiného než oprávnění (kde se nezapíše a basta a pokud vím, model oprávnění nerozpoznává původce-aplikaci). Možná to trochu zamotá, že některá aplikace budou zapisovat přímo přes funkci API a některé spuštěním podprocesu reg.exe

Existovala na to různá řešení, ale v provozu to dost zlobilo. V zásadě je jednodušší hlídat si elevaci práv UAC, bez ní to do registru nezapíše. Případně to lze sledovat procmonem: https://docs.microsoft.com/en-us/sysinternals/downloads/procmon.
Název: Re:Analýza registrů Windows
Přispěvatel: pp 24. 02. 2018, 14:43:15: Co tohle s tím si vyhraješ
https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite
Název: Re:Analýza registrů Windows
Přispěvatel: MD 24. 02. 2018, 15:04:53: > Existuje něco jako firewall do registru?
> aby se mi zobrazilo, když nějaká aplikace
> chce zapsat do /Run, tak rozhodnout,
> vidět argumenty.

Tzv. personální firewally či security suites (v podstatě součást každého dnešního antiviru) toto dělají. Hlídají klíče, které slouží pro automaticeké spouštění aplikací/načítání knihoven atd.

> Pozor, to je něco jiného než oprávnění
> (kde se nezapíše a basta a pokud vím,
> model oprávnění nerozpoznává původce-
> aplikaci).

Ano, oprávnění procesu se odvíjí od access tokenu, kterým disponuje, což zjednodušeně odpovídá uživateli, pod nímž proces běží.

> Možná to trochu zamotá, že některá
> aplikace budou zapisovat přímo přes
> funkci API a některé spuštěním
> podprocesu reg.exe

Antiviry by to zmást nemělo (alespoň ty kvalitní), protože vytvoření nového procesu mohou sledovat, ba i dokumentovaným způsobem blokovat. A vidí i příkazovou řádku.

> sledovat UAC

Pokud by dané aplikaci stačilo "zaplevelit" pouze profil aktuálně přihlášeného uživatele (resp. toho, pod kterým běží), vystačí si bez elevace.
Název: Re:Analýza registrů Windows
Přispěvatel: Lojza 24. 02. 2018, 15:14:12: Citace: macík 24. 02. 2018, 12:08:18
Existuje něco jako firewall do registru? aby se mi zobrazilo, když nějaká aplikace chce zapsat do /Run, tak rozhodnout, vidět argumenty. Pozor, to je něco jiného než oprávnění (kde se nezapíše a basta a pokud vím, model oprávnění nerozpoznává původce-aplikaci). Možná to trochu zamotá, že některá aplikace budou zapisovat přímo přes funkci API a některé spuštěním podprocesu reg.exe

nejbliz je tomu asi

https://www.techrepublic.com/blog/smb-technologist/protect-your-windows-registry-with-registry-alert/

ke stazeni byl puvodne na sourceforge.net, tam uz projekt neni, otazka jestli podporuje i w10, 64 bit ...

ke stazeni treba tady

https://www.ghacks.net/2013/05/05/registry-alert-monitors-the-windows-registry-for-unwanted-modifications/

pripadne ke sledovani konkretniho *.exe by mohl pomoci i

https://www.nirsoft.net/utils/reg_file_from_application.html