Kasowanie kluczy rejestru

| 24 maja 2009 | Oprogramowanie komputerowe | 4 komentarze

Edytor rejestru (regedit)

Windows 7: w menu Start >>> w polu wyszukiwania wpisujemy regedit
Windows XP: menu Start >>> Uruchom >>> wpisujemy regedit

Lokalizacja pliku na dysku: C:Windowsregedit.exe

Po otwarciu edytora klikamy na danym kluczu i wybieramy Dodaj lub Usuń:
regedit

Konsolowe narzędzie REG

pełną składnie polecenia możemy zobaczyć wpisując w wiersz polecenia komendę REG /?. Narzędzie pozwala na usuwanie, dodawanie, eksportowanie, importowanie… kluczy rejestru.

Do usuwania wykorzystujemy parametr „delete”.

REG DELETE NazwaKlucza /v NazwaWartości /f

Przykłady:
usunięcie wartości: reg delete HKEY_CURRENT_USER_Software_aignes_amnotebok /v flags

usunięcie klucza: reg delete HKEY_CURRENT_USER_Software_aignes_amnotebok

Wykonanie polecenia wymaga potwierdzenia poprzez wpisanie litery „t”. Dodanie przełącznika /f automatycznie usuwa klucz, bez monitu.

narzędzie-reg

Pliki .reg

Pliki rejestru zawsze rozpoczynają się od nagłówka:

Windows Registry Editor Version 5.00

(dla starszych systemów nagłówek ma postać REGEDIT4)

Następnie pozostawiamy pusty wiersz, po którym podajemy pełną ścieżkę do klucza ujętą w nawias kwadratowy.

przykład dodania klucza

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"SuperHidden"=dword:00000001

przykład usunięcia klucza
aby usunąć klucz należy dodać znak minusa „-” na początku nazwy klucza

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2]

przykład usunięcia wartości
aby usunąć wartość należy ustawić jako wartość znak minusa „-”

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwareGame MakerScores705627]
"Rank1"=-

Pliki .reg tworzymy w Notatniku. Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz plik z rozszerzeniem .reg np. fix.reg Uruchamiamy plik i potwierdzamy wykonanie operacji.
pliki-reg

Ukryte klucze NULL

służą do ukrywania zawartości kluczy rejestru, wykorzystywane przez rootkity.

Funkcjonowanie kluczy NULL na przykładzie narzędzia Reghide

Po uruchomieniu Reghide.exe (na Windows 7 uruchamiamy w trybie Uruchom jako administrator) klikamy OK. Następne okienko pozostawiamy otwarte, tak aby narzędzie cały czas było aktywne (po zamknięciu klucz null jest automatycznie kasowany).

Zostanie utworzony klucz typu null. Aplikacje działające w oparciu o Native API zobaczą cały utworzony klucz:
HKEY_LOCAL_MACHINESOFTWARESystems InternalsCan’t touch me! 0

Edytor rejestru działający w oparciu o Win32 API zobaczy tylko:
HKEY_LOCAL_MACHINESOFTWARESystems InternalsCan’t touch me! 0

Klucza nie da się otworzyć, bo nazwa nie jest właściwie czytana – edytor rejestru będzie próbował otworzyć „Can’t touch me!” bez NULL na końcu (zerówka ” 0″ jest traktowana jako znacznik końcówki nazwy, nie brany pod uwagę). Typowe komunikaty: „Błąd uniemożliwia otwarcie klucza” / „Błąd przy usuwaniu klucza”

reg null open

Klucz może być poprawnie wykryty przez aplikacje wyszukujące rootkity.
GMER wykryje schowaną w środku wartość o nazwie Hidden Value:
regnull

Wykrywanie i usuwanie kluczy null

Aby zobaczyć / tworzyć / usuwać takie klucze musimy korzystać z narzędzi działających w oparciu o Native API. Przykładem jest edytor rejestru NtRegEdit – Native Registry Editor, który zobaczy całą zawartość klucza:
NtRegEdit

Klucz da się otworzyć i usunąć – aplikacja otwiera „Can’t touch me!” razem z NULL na końcu (zerówka ” 0″ jest traktowana jako część nazwy).

Kolejną aplikacją do usuwania kluczy jest obsługiwany z wiersza poleceń RegDelNull.

Po pobraniu kopiujemy plik do katalogu C:Windows. Następnie w wierszu poleceń wpisujemy komendę:

regdelnull  [-s]

np. regdelnull hklm -s (parametr -s skanuje wszystkie podklucze

W przypadku wykrycia klucza NULL, aplikacja spyta czy go usunąć. Wpisujemy Y aby usunąć lub N aby klucz pozostawić:

RegDelNull

Można jeszcze skorzystać z aplikacji SWReg, która jest alternatywą dla systemowego edytora reg.exe, ale posiadającą opcje przeglądania, usuwania oraz dodawania kluczy typu NULL. Obsługa z wiersza poleceń.

Przykładowo usuwanie klucza komendą:

swreg null delete „HKEY_LOCAL_MACHINESOFTWARESystems InternalsCan’t touch me!”

Klucze bez uprawnień

Typowe komunikaty: „Odmowa dostępu” / „Błąd przy usuwaniu klucza”

regdel1.jpg

regdel2.jpg

zmiana uprawnień dla kluczy

Uruchamiamy edytor rejestru (na Windows 7 wymagane jest uruchomienie jako administrator). W przypadku Windows 7 wymagane jest wcześniejsze przejęcie klucza na własność, stając się jego Właścicielem.
Przechodzimy do klucza, którego chcemy usunąć i klikamy na nim PPM wybierając pozycję Uprawnienia. Otworzy się okno z uprawnieniami dla poszczególnych kont:

sptd2.jpg

W Windows 7 klikamy w button Zaawansowane. Przechodzimy do zakładki Właściciel, zaznaczamy nasze konto oraz opcję Zamień właściciela dla podkontenerów i obiektów. Akceptujemy klikając Zastosuj i OK.

Powrócimy na główne okno z uprawnieniami dla poszczególnych kont. Jeżeli na liście nie ma naszego konta, wybieramy przycisk Dodaj >>> wpisujemy nazwę naszego konta >>> OK. Teraz zaznaczamy nasze konto i na dole wybieramy Pełna kontrola >>> OK.

Teraz klucz powinien dać się usunąć. Win XP: jeżeli nadal będzie błąd usuwania klucza: Uprawnienia >>> Zaawansowane >>> w pierwszej zakładce na dole zaptaszyć Zamień wpisy uprawnień na wszystkich obiektach podrzędnych

uruchomienie Edytora rejestru z uprawnieniami konta SYSTEM
Można uruchomić edytor rejestru Windows z uprawnieniami konta SYSTEM: zmiana uprawnien uzytkownika. Wówczas klucze rejestru można kasować bez przyznawania uprawnień.

Konto SYSTEM to osobne konto w Windows i posiada uprawnienia większe niż Administrator. W Win XP jest to konto najwyższe hierarchicznie. W Win 7 kluczowym kontem jest TrustedInstaller, ale start z konta SYSTEM może się również okazać przydatne. Znakiem, że edytor rejestru jest uruchomiony z uprawnieniami konta SYSTEM jest widoczność podkluczy klucza SAM / SECURITY, które normalnie są niewidoczne.
Następną metodą jest skorzystanie z LiveCD PC Regedit.

Przydatne aplikacje:

RegASSASSIN

Licencja: freeware
Platforma: Windows

aplikacja umożliwia kasowanie kluczy, które przy usuwaniu zwracają Odmowę dostępu / Błąd przy usuwaniu klucza co jest wynikiem braku uprawnień. Program resetuje uprawnienia i kasuje klucz. Wystarczy program uruchomić, wkleić w pasek adresów klucz, zaznaczając Reset permissions i Delete registry key and all subkeys, kliknąć Delete.
Na Windows 7: Uruchom jako administrator

Download: najnowsza wersja, RegASSASSIN_1.03.zip

Zrzut ekranu:
RegASSASSIN.jpg

aplikacja MiniRegTool

narzędzie pozwala na:
– eksportowanie kluczy
– wyświetlanie aktualnych uprawnień dostępu
– zresetowanie i przyznanie uprawnień do klucza
– wyszukanie w rejestrze danej wartości, zablokowanych kluczy i kluczy Null
– usuwanie kluczy, w tym zablokowanych z powodu braku uprawnień

Download: wersja 32-bit, wersja 64-bit
backup – MiniRegTool_05.01.2012.zip, MiniRegTool64_05.01.2012.zip

Zrzut ekranu:
miniregtool



Tags:,

Autor artykułu

Traxter

Nazywam się Sebastian Wolszlegier. Jestem właścicielem, administratorem oraz redaktorem strony traxter-online.net.

4 komentarze
  1. Gydi Odpowiedz

    Tylko MiniRegTool dał radę! z Macromedia.

  2. dan Odpowiedz

    da sie usunac ? klucz z API ? klucz jest trylko aktywny 1h dziennie

  3. Sebastian Wolszlegier Odpowiedz

    Registry DeleteEx
    http://www.novirusthanks.org/products/registry-deleteex/

  4. to ja Odpowiedz

    Całkiem spoko

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *