Kasowanie kluczy rejestru
|Edytor rejestru (regedit)
Windows 7: w menu Start >>> w polu wyszukiwania wpisujemy regedit
Windows XP: menu Start >>> Uruchom >>> wpisujemy regedit
Lokalizacja pliku na dysku: C:Windowsregedit.exe
Po otwarciu edytora klikamy na danym kluczu i wybieramy Dodaj lub Usuń:
Konsolowe narzędzie REG
pełną składnie polecenia możemy zobaczyć wpisując w wiersz polecenia komendę REG /?. Narzędzie pozwala na usuwanie, dodawanie, eksportowanie, importowanie… kluczy rejestru.
Do usuwania wykorzystujemy parametr „delete”.
REG DELETE NazwaKlucza /v NazwaWartości /f
Przykłady:
usunięcie wartości: reg delete HKEY_CURRENT_USER_Software_aignes_amnotebok /v flags
usunięcie klucza: reg delete HKEY_CURRENT_USER_Software_aignes_amnotebok
Wykonanie polecenia wymaga potwierdzenia poprzez wpisanie litery „t”. Dodanie przełącznika /f automatycznie usuwa klucz, bez monitu.
Pliki .reg
Pliki rejestru zawsze rozpoczynają się od nagłówka:
Windows Registry Editor Version 5.00
(dla starszych systemów nagłówek ma postać REGEDIT4)
Następnie pozostawiamy pusty wiersz, po którym podajemy pełną ścieżkę do klucza ujętą w nawias kwadratowy.
przykład dodania klucza
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced] "SuperHidden"=dword:00000001
przykład usunięcia klucza
aby usunąć klucz należy dodać znak minusa „-” na początku nazwy klucza
Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2]
przykład usunięcia wartości
aby usunąć wartość należy ustawić jako wartość znak minusa „-”
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USERSoftwareGame MakerScores705627] "Rank1"=-
Pliki .reg tworzymy w Notatniku. Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz plik z rozszerzeniem .reg np. fix.reg Uruchamiamy plik i potwierdzamy wykonanie operacji.
Ukryte klucze NULL
służą do ukrywania zawartości kluczy rejestru, wykorzystywane przez rootkity.
Funkcjonowanie kluczy NULL na przykładzie narzędzia Reghide
Po uruchomieniu Reghide.exe (na Windows 7 uruchamiamy w trybie Uruchom jako administrator) klikamy OK. Następne okienko pozostawiamy otwarte, tak aby narzędzie cały czas było aktywne (po zamknięciu klucz null jest automatycznie kasowany).
Zostanie utworzony klucz typu null. Aplikacje działające w oparciu o Native API zobaczą cały utworzony klucz:
HKEY_LOCAL_MACHINESOFTWARESystems InternalsCan’t touch me! 0
Edytor rejestru działający w oparciu o Win32 API zobaczy tylko:
HKEY_LOCAL_MACHINESOFTWARESystems InternalsCan’t touch me! 0
Klucza nie da się otworzyć, bo nazwa nie jest właściwie czytana – edytor rejestru będzie próbował otworzyć „Can’t touch me!” bez NULL na końcu (zerówka ” 0″ jest traktowana jako znacznik końcówki nazwy, nie brany pod uwagę). Typowe komunikaty: „Błąd uniemożliwia otwarcie klucza” / „Błąd przy usuwaniu klucza”
Klucz może być poprawnie wykryty przez aplikacje wyszukujące rootkity.
GMER wykryje schowaną w środku wartość o nazwie Hidden Value:
Wykrywanie i usuwanie kluczy null
Aby zobaczyć / tworzyć / usuwać takie klucze musimy korzystać z narzędzi działających w oparciu o Native API. Przykładem jest edytor rejestru NtRegEdit – Native Registry Editor, który zobaczy całą zawartość klucza:
Klucz da się otworzyć i usunąć – aplikacja otwiera „Can’t touch me!” razem z NULL na końcu (zerówka ” 0″ jest traktowana jako część nazwy).
Kolejną aplikacją do usuwania kluczy jest obsługiwany z wiersza poleceń RegDelNull.
Po pobraniu kopiujemy plik do katalogu C:Windows. Następnie w wierszu poleceń wpisujemy komendę:
regdelnull [-s]
np. regdelnull hklm -s (parametr -s skanuje wszystkie podklucze
W przypadku wykrycia klucza NULL, aplikacja spyta czy go usunąć. Wpisujemy Y aby usunąć lub N aby klucz pozostawić:
Można jeszcze skorzystać z aplikacji SWReg, która jest alternatywą dla systemowego edytora reg.exe, ale posiadającą opcje przeglądania, usuwania oraz dodawania kluczy typu NULL. Obsługa z wiersza poleceń.
Przykładowo usuwanie klucza komendą:
swreg null delete „HKEY_LOCAL_MACHINESOFTWARESystems InternalsCan’t touch me!”
Klucze bez uprawnień
Typowe komunikaty: „Odmowa dostępu” / „Błąd przy usuwaniu klucza”
zmiana uprawnień dla kluczy
Uruchamiamy edytor rejestru (na Windows 7 wymagane jest uruchomienie jako administrator). W przypadku Windows 7 wymagane jest wcześniejsze przejęcie klucza na własność, stając się jego Właścicielem.
Przechodzimy do klucza, którego chcemy usunąć i klikamy na nim PPM wybierając pozycję Uprawnienia. Otworzy się okno z uprawnieniami dla poszczególnych kont:
W Windows 7 klikamy w button Zaawansowane. Przechodzimy do zakładki Właściciel, zaznaczamy nasze konto oraz opcję Zamień właściciela dla podkontenerów i obiektów. Akceptujemy klikając Zastosuj i OK.
Powrócimy na główne okno z uprawnieniami dla poszczególnych kont. Jeżeli na liście nie ma naszego konta, wybieramy przycisk Dodaj >>> wpisujemy nazwę naszego konta >>> OK. Teraz zaznaczamy nasze konto i na dole wybieramy Pełna kontrola >>> OK.
Teraz klucz powinien dać się usunąć. Win XP: jeżeli nadal będzie błąd usuwania klucza: Uprawnienia >>> Zaawansowane >>> w pierwszej zakładce na dole zaptaszyć Zamień wpisy uprawnień na wszystkich obiektach podrzędnych
uruchomienie Edytora rejestru z uprawnieniami konta SYSTEM
Można uruchomić edytor rejestru Windows z uprawnieniami konta SYSTEM: zmiana uprawnien uzytkownika. Wówczas klucze rejestru można kasować bez przyznawania uprawnień.
Konto SYSTEM to osobne konto w Windows i posiada uprawnienia większe niż Administrator. W Win XP jest to konto najwyższe hierarchicznie. W Win 7 kluczowym kontem jest TrustedInstaller, ale start z konta SYSTEM może się również okazać przydatne. Znakiem, że edytor rejestru jest uruchomiony z uprawnieniami konta SYSTEM jest widoczność podkluczy klucza SAM / SECURITY, które normalnie są niewidoczne.
Następną metodą jest skorzystanie z LiveCD PC Regedit.
Przydatne aplikacje:
RegASSASSIN
Licencja: freeware
Platforma: Windows
aplikacja umożliwia kasowanie kluczy, które przy usuwaniu zwracają Odmowę dostępu / Błąd przy usuwaniu klucza co jest wynikiem braku uprawnień. Program resetuje uprawnienia i kasuje klucz. Wystarczy program uruchomić, wkleić w pasek adresów klucz, zaznaczając Reset permissions i Delete registry key and all subkeys, kliknąć Delete.
Na Windows 7: Uruchom jako administrator
Download: najnowsza wersja, RegASSASSIN_1.03.zip
Zrzut ekranu:
aplikacja MiniRegTool
narzędzie pozwala na:
– eksportowanie kluczy
– wyświetlanie aktualnych uprawnień dostępu
– zresetowanie i przyznanie uprawnień do klucza
– wyszukanie w rejestrze danej wartości, zablokowanych kluczy i kluczy Null
– usuwanie kluczy, w tym zablokowanych z powodu braku uprawnień
Download: wersja 32-bit, wersja 64-bit
backup – MiniRegTool_05.01.2012.zip, MiniRegTool64_05.01.2012.zip
Tylko MiniRegTool dał radę! z Macromedia.
da sie usunac ? klucz z API ? klucz jest trylko aktywny 1h dziennie
Registry DeleteEx
http://www.novirusthanks.org/products/registry-deleteex/
Całkiem spoko