RootKit Revealer - Normaux ou pas les zéros dans une certaine clé de la BdR ?
7 réponses
Ghost-Rider
Bonjour,
Une analyse par RootKit Revealer de mon disque tout neuf avec Windows XP
Pro SP2 installé depuis le CD DELL et avec maj par Windows Update donne
l'anomalie suivante :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\ 14/05/2010
14:38 0 bytes Key name contains embedded nulls (*)
L'aide RKR en parle bien :
Key name contains embedded nulls.
The Windows API treats key names as null-terminated strings whereas the
kernel treats them as counted strings. Thus, it is possible to create
Registry keys that are visible to the operating system, yet only
partially visible to Registry tools like Regedit. The Reghide sample
code at Sysinternals demonstrates this technique, which is used by both
malware and rootkits to hide Registry data.
...mais ne dit pas si cette ligne est normale ou pas.
Elle n'apparaît pas dans la BdR par Regedit.
Google ne m'apprends rien non plus.
Question : cette ligne, apparemment dissimulée sciemment dans la BdR se
retrouvera-elle de toutes façons sur les système sains ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Sniper
Ghost-Rider a formulé ce mardi 18/05/2010, Sainte Corinne :
Windows XP Pro SP2 installé depuis le CD DELL
Avec Dell, Compaq, Acer, HP, et sous-marques, il faut s'attendre à tout. Même (et surtout) à des tatouages en Rootkit... Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est sûrement caché ailleurs, sinon où serait la sécurité des CD de restauration de chaque marque ?
-- Sniper
On ne dit pas un "suspect" mais un "lèche cul" !
Ghost-Rider a formulé ce mardi 18/05/2010, Sainte Corinne :
Windows XP Pro SP2 installé depuis le CD DELL
Avec Dell, Compaq, Acer, HP, et sous-marques, il faut s'attendre à
tout. Même (et surtout) à des tatouages en Rootkit...
Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est
sûrement caché ailleurs, sinon où serait la sécurité des CD de
restauration de chaque marque ?
Ghost-Rider a formulé ce mardi 18/05/2010, Sainte Corinne :
Windows XP Pro SP2 installé depuis le CD DELL
Avec Dell, Compaq, Acer, HP, et sous-marques, il faut s'attendre à tout. Même (et surtout) à des tatouages en Rootkit... Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est sûrement caché ailleurs, sinon où serait la sécurité des CD de restauration de chaque marque ?
-- Sniper
On ne dit pas un "suspect" mais un "lèche cul" !
Tr
*Ecrit* *par* *Sniper*:
Ghost-Rider a formulé ce mardi 18/05/2010, Sainte Corinne :
Windows XP Pro SP2 installé depuis le CD DELL
Avec Dell, Compaq, Acer, HP, et sous-marques, il faut s'attendre à tout. Même (et surtout) à des tatouages en Rootkit... Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est sûrement caché ailleurs, sinon où serait la sécurité des CD de restauration de chaque marque ?
quelque part sur un secteur du disque dur, non accessible via l'OS, en gros (j'ai déjà trouvé dans des machines des cd de tatouage...)
-- Croyez en la force de l'exemple. (Vécu)
*Ecrit* *par* *Sniper*:
Ghost-Rider a formulé ce mardi 18/05/2010, Sainte Corinne :
Windows XP Pro SP2 installé depuis le CD DELL
Avec Dell, Compaq, Acer, HP, et sous-marques, il faut s'attendre à
tout. Même (et surtout) à des tatouages en Rootkit...
Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est
sûrement caché ailleurs, sinon où serait la sécurité des CD de
restauration de chaque marque ?
quelque part sur un secteur du disque dur, non accessible via l'OS, en
gros (j'ai déjà trouvé dans des machines des cd de tatouage...)
--
Croyez en la force de l'exemple. (Vécu)
tranquille.xav@gmail.com
Ghost-Rider a formulé ce mardi 18/05/2010, Sainte Corinne :
Windows XP Pro SP2 installé depuis le CD DELL
Avec Dell, Compaq, Acer, HP, et sous-marques, il faut s'attendre à tout. Même (et surtout) à des tatouages en Rootkit... Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est sûrement caché ailleurs, sinon où serait la sécurité des CD de restauration de chaque marque ?
quelque part sur un secteur du disque dur, non accessible via l'OS, en gros (j'ai déjà trouvé dans des machines des cd de tatouage...)
-- Croyez en la force de l'exemple. (Vécu)
Sniper
vient de nous énoncer dans son message :
Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est sûrement caché ailleurs, sinon où serait la sécurité des CD de restauration de chaque marque ?
quelque part sur un secteur du disque dur, non accessible via l'OS, en gros (j'ai déjà trouvé dans des machines des cd de tatouage...)
Non, chez Fujitsu, les CDs de restauration (en fait reset usine) ne fonctionnent que sur le PC prévu pour. Ce sont les CDs qui sont tatoués (sérialisés) par rapport au numéro de série de la carte mère. On peut changer un ou les deux disques durs, ça se réinstalle sans souci. Par contre, si on change la carte-mère... ils faut recommander les CDs (58¤) :-/
-- Sniper
Quand l'homme a découvert que la vache donnait du lait, que cherchait-il exactement à faire ce jour-là ? - Philippe Geluck
Tr@nquille vient de nous énoncer dans son message
<mn.938a7da537ecd74d.16098@free.fr>:
Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est sûrement
caché ailleurs, sinon où serait la sécurité des CD de restauration de
chaque marque ?
quelque part sur un secteur du disque dur, non accessible via l'OS, en gros
(j'ai déjà trouvé dans des machines des cd de tatouage...)
Non, chez Fujitsu, les CDs de restauration (en fait reset usine) ne
fonctionnent que sur le PC prévu pour. Ce sont les CDs qui sont tatoués
(sérialisés) par rapport au numéro de série de la carte mère. On peut
changer un ou les deux disques durs, ça se réinstalle sans souci. Par
contre, si on change la carte-mère... ils faut recommander les CDs
(58¤) :-/
--
Sniper
Quand l'homme a découvert que la vache donnait du lait, que
cherchait-il exactement à faire ce jour-là ? - Philippe Geluck
Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est sûrement caché ailleurs, sinon où serait la sécurité des CD de restauration de chaque marque ?
quelque part sur un secteur du disque dur, non accessible via l'OS, en gros (j'ai déjà trouvé dans des machines des cd de tatouage...)
Non, chez Fujitsu, les CDs de restauration (en fait reset usine) ne fonctionnent que sur le PC prévu pour. Ce sont les CDs qui sont tatoués (sérialisés) par rapport au numéro de série de la carte mère. On peut changer un ou les deux disques durs, ça se réinstalle sans souci. Par contre, si on change la carte-mère... ils faut recommander les CDs (58¤) :-/
-- Sniper
Quand l'homme a découvert que la vache donnait du lait, que cherchait-il exactement à faire ce jour-là ? - Philippe Geluck
Tr
*Ecrit* *par* *Sniper*:
vient de nous énoncer dans son message :
Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est sûrement caché ailleurs, sinon où serait la sécurité des CD de restauration de chaque marque ?
quelque part sur un secteur du disque dur, non accessible via l'OS, en gros (j'ai déjà trouvé dans des machines des cd de tatouage...)
Non, chez Fujitsu, les CDs de restauration (en fait reset usine) ne fonctionnent que sur le PC prévu pour. Ce sont les CDs qui sont tatoués (sérialisés) par rapport au numéro de série de la carte mère. On peut changer un ou les deux disques durs, ça se réinstalle sans souci. Par contre, si on change la carte-mère... ils faut recommander les CDs (58¤) :-/
pour la carte mère, évidemment, c'est encore plus simple maintenant. j'avais eu l'occasion d'analyser il y a quelques années un tatouage disque dur, c'est pour ça que j'ai pensé d'abord à ce vieux système.
-- Pour être célèbre, il faut avoir une vie susceptible d'intéresser les autres. (ça coule de source, hein...)
*Ecrit* *par* *Sniper*:
Tr@nquille vient de nous énoncer dans son message
<mn.938a7da537ecd74d.16098@free.fr>:
Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est
sûrement caché ailleurs, sinon où serait la sécurité des CD de
restauration de chaque marque ?
quelque part sur un secteur du disque dur, non accessible via l'OS,
en gros (j'ai déjà trouvé dans des machines des cd de tatouage...)
Non, chez Fujitsu, les CDs de restauration (en fait reset usine) ne
fonctionnent que sur le PC prévu pour. Ce sont les CDs qui sont
tatoués (sérialisés) par rapport au numéro de série de la carte mère.
On peut changer un ou les deux disques durs, ça se réinstalle sans
souci. Par contre, si on change la carte-mère... ils faut recommander
les CDs (58¤) :-/
pour la carte mère, évidemment, c'est encore plus simple maintenant.
j'avais eu l'occasion d'analyser il y a quelques années un tatouage
disque dur, c'est pour ça que j'ai pensé d'abord à ce vieux système.
--
Pour être célèbre, il faut avoir une vie susceptible d'intéresser les
autres. (ça coule de source, hein...)
tranquille.xav@gmail.com
Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est sûrement caché ailleurs, sinon où serait la sécurité des CD de restauration de chaque marque ?
quelque part sur un secteur du disque dur, non accessible via l'OS, en gros (j'ai déjà trouvé dans des machines des cd de tatouage...)
Non, chez Fujitsu, les CDs de restauration (en fait reset usine) ne fonctionnent que sur le PC prévu pour. Ce sont les CDs qui sont tatoués (sérialisés) par rapport au numéro de série de la carte mère. On peut changer un ou les deux disques durs, ça se réinstalle sans souci. Par contre, si on change la carte-mère... ils faut recommander les CDs (58¤) :-/
pour la carte mère, évidemment, c'est encore plus simple maintenant. j'avais eu l'occasion d'analyser il y a quelques années un tatouage disque dur, c'est pour ça que j'ai pensé d'abord à ce vieux système.
-- Pour être célèbre, il faut avoir une vie susceptible d'intéresser les autres. (ça coule de source, hein...)
Ascadix
Ghost-Rider a formulé ce mardi :
Bonjour,
Une analyse par RootKit Revealer de mon disque tout neuf avec Windows XP Pro SP2 installé depuis le CD DELL et avec maj par Windows Update donne l'anomalie suivante : HKLMSOFTWAREMicrosoftWindowsCurrentVersionReinstall 14/05/2010 14:38 0 bytes Key name contains embedded nulls (*)
L'aide RKR en parle bien : Key name contains embedded nulls. The Windows API treats key names as null-terminated strings whereas the kernel treats them as counted strings. Thus, it is possible to create Registry keys that are visible to the operating system, yet only partially visible to Registry tools like Regedit. The Reghide sample code at Sysinternals demonstrates this technique, which is used by both malware and rootkits to hide Registry data.
...mais ne dit pas si cette ligne est normale ou pas. Elle n'apparaît pas dans la BdR par Regedit. Google ne m'apprends rien non plus.
Perso, elle me semble suspect, elle n'estpas bidouillé pas à ma connaissance sur un XP "MS", et sur un XP "XP mode" j'en suis sur, je viens de vérifeir, cette clef existe mais ne contient pas de bidouillage de ce genre.
------------------------------------------ Windows Registry Editor Version 5.00
Tu peut aller fouiner dedans en utilisant ce REGEDIT là : http://www.codeproject.com/KB/applications/NtRegEdit.aspx
télécharge le + gros fichier, il y les versions compilés dedans.
Question : cette ligne, apparemment dissimulée sciemment dans la BdR se retrouvera-elle de toutes façons sur les système sains ?
Nan, pas avec cette anomalie à ma connaissance.
Merci
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
Ghost-Rider a formulé ce mardi :
Bonjour,
Une analyse par RootKit Revealer de mon disque tout neuf avec Windows XP Pro
SP2 installé depuis le CD DELL et avec maj par Windows Update donne
l'anomalie suivante :
HKLMSOFTWAREMicrosoftWindowsCurrentVersionReinstall 14/05/2010 14:38 0
bytes Key name contains embedded nulls (*)
L'aide RKR en parle bien :
Key name contains embedded nulls.
The Windows API treats key names as null-terminated strings whereas the
kernel treats them as counted strings. Thus, it is possible to create
Registry keys that are visible to the operating system, yet only partially
visible to Registry tools like Regedit. The Reghide sample code at
Sysinternals demonstrates this technique, which is used by both malware and
rootkits to hide Registry data.
...mais ne dit pas si cette ligne est normale ou pas.
Elle n'apparaît pas dans la BdR par Regedit.
Google ne m'apprends rien non plus.
Perso, elle me semble suspect, elle n'estpas bidouillé pas à ma
connaissance sur un XP "MS", et sur un XP "XP mode" j'en suis sur, je
viens de vérifeir, cette clef existe mais ne contient pas de
bidouillage de ce genre.
------------------------------------------
Windows Registry Editor Version 5.00
Une analyse par RootKit Revealer de mon disque tout neuf avec Windows XP Pro SP2 installé depuis le CD DELL et avec maj par Windows Update donne l'anomalie suivante : HKLMSOFTWAREMicrosoftWindowsCurrentVersionReinstall 14/05/2010 14:38 0 bytes Key name contains embedded nulls (*)
L'aide RKR en parle bien : Key name contains embedded nulls. The Windows API treats key names as null-terminated strings whereas the kernel treats them as counted strings. Thus, it is possible to create Registry keys that are visible to the operating system, yet only partially visible to Registry tools like Regedit. The Reghide sample code at Sysinternals demonstrates this technique, which is used by both malware and rootkits to hide Registry data.
...mais ne dit pas si cette ligne est normale ou pas. Elle n'apparaît pas dans la BdR par Regedit. Google ne m'apprends rien non plus.
Perso, elle me semble suspect, elle n'estpas bidouillé pas à ma connaissance sur un XP "MS", et sur un XP "XP mode" j'en suis sur, je viens de vérifeir, cette clef existe mais ne contient pas de bidouillage de ce genre.
------------------------------------------ Windows Registry Editor Version 5.00
Perso, elle me semble suspect, elle n'estpas bidouillé pas à ma connaissance sur un XP "MS", et sur un XP "XP mode" j'en suis sur, je viens de vérifeir, cette clef existe mais ne contient pas de bidouillage de ce genre.
...
Tu peut aller fouiner dedans en utilisant ce REGEDIT là : http://www.codeproject.com/KB/applications/NtRegEdit.aspx
Avant cela, j'ai voulu aller voir si cette ligne existe dans la BdR du disque précédent que j'ai changé pour le disque actuel qui contient cette ligne suspecte.
Je ne parviens pas à la lire, même en utilisant le regedit se trouvant sur ce disque. Windows refuse : --------------------------- Éditeur du Registre --------------------------- Impossible d'importer F:Documents and SettingsPapantuser.dat : Le fichier spécifié n'est pas un script du Registre.
Vous pouvez uniquement importer des fichiers du Registre binaires à partir de l'éditeur du Registre. --------------------------- OK ---------------------------
Perso, elle me semble suspect, elle n'estpas bidouillé pas à ma
connaissance sur un XP "MS", et sur un XP "XP mode" j'en suis sur, je
viens de vérifeir, cette clef existe mais ne contient pas de bidouillage
de ce genre.
...
Tu peut aller fouiner dedans en utilisant ce REGEDIT là :
http://www.codeproject.com/KB/applications/NtRegEdit.aspx
Avant cela, j'ai voulu aller voir si cette ligne existe dans la BdR du
disque précédent que j'ai changé pour le disque actuel qui contient
cette ligne suspecte.
Je ne parviens pas à la lire, même en utilisant le regedit se trouvant
sur ce disque. Windows refuse :
---------------------------
Éditeur du Registre
---------------------------
Impossible d'importer F:Documents and SettingsPapantuser.dat : Le
fichier spécifié n'est pas un script du Registre.
Vous pouvez uniquement importer des fichiers du Registre binaires à
partir de l'éditeur du Registre.
---------------------------
OK
---------------------------
Perso, elle me semble suspect, elle n'estpas bidouillé pas à ma connaissance sur un XP "MS", et sur un XP "XP mode" j'en suis sur, je viens de vérifeir, cette clef existe mais ne contient pas de bidouillage de ce genre.
...
Tu peut aller fouiner dedans en utilisant ce REGEDIT là : http://www.codeproject.com/KB/applications/NtRegEdit.aspx
Avant cela, j'ai voulu aller voir si cette ligne existe dans la BdR du disque précédent que j'ai changé pour le disque actuel qui contient cette ligne suspecte.
Je ne parviens pas à la lire, même en utilisant le regedit se trouvant sur ce disque. Windows refuse : --------------------------- Éditeur du Registre --------------------------- Impossible d'importer F:Documents and SettingsPapantuser.dat : Le fichier spécifié n'est pas un script du Registre.
Vous pouvez uniquement importer des fichiers du Registre binaires à partir de l'éditeur du Registre. --------------------------- OK ---------------------------
Perso, elle me semble suspect, elle n'estpas bidouillé pas à ma connaissance sur un XP "MS", et sur un XP "XP mode" j'en suis sur, je viens de vérifeir, cette clef existe mais ne contient pas de bidouillage de ce genre.
...
Tu peut aller fouiner dedans en utilisant ce REGEDIT là : http://www.codeproject.com/KB/applications/NtRegEdit.aspx
Avant cela, j'ai voulu aller voir si cette ligne existe dans la BdR du disque précédent que j'ai changé pour le disque actuel qui contient cette ligne suspecte.
Je ne parviens pas à la lire, même en utilisant le regedit se trouvant sur ce disque. Windows refuse : --------------------------- Éditeur du Registre --------------------------- Impossible d'importer F:Documents and SettingsPapantuser.dat : Le fichier spécifié n'est pas un script du Registre.
Vous pouvez uniquement importer des fichiers du Registre binaires à partir de l'éditeur du Registre. --------------------------- OK ---------------------------
Comment puis-je faire ?
T'aurais pas cliqué sur "fchier/importer" au lieu de "fichier/charger la ruche..." si c'est ça, heuresement que ouinouin à refusé, t'aurais explosé ta BDR sinon.
"importer", c'est comme double-cliquer sur un .REG pour le fusionner dans ta BDR active.
ouvre le regedit place-toi sur HKU fichier / charger la ruche -> va chercher le ntuser.dat nom de clef temporaire ..t'as qu'a mettre "toto" tu explore .. et t'oubli pas avant de ferme REGEDIT de te remetre sur "toto" et fichier / décharger
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
Perso, elle me semble suspect, elle n'estpas bidouillé pas à ma
connaissance sur un XP "MS", et sur un XP "XP mode" j'en suis sur, je
viens de vérifeir, cette clef existe mais ne contient pas de bidouillage
de ce genre.
...
Tu peut aller fouiner dedans en utilisant ce REGEDIT là :
http://www.codeproject.com/KB/applications/NtRegEdit.aspx
Avant cela, j'ai voulu aller voir si cette ligne existe dans la BdR du disque
précédent que j'ai changé pour le disque actuel qui contient cette ligne
suspecte.
Je ne parviens pas à la lire, même en utilisant le regedit se trouvant sur ce
disque. Windows refuse :
---------------------------
Éditeur du Registre
---------------------------
Impossible d'importer F:Documents and SettingsPapantuser.dat : Le fichier
spécifié n'est pas un script du Registre.
Vous pouvez uniquement importer des fichiers du Registre binaires à partir de
l'éditeur du Registre.
---------------------------
OK
---------------------------
Comment puis-je faire ?
T'aurais pas cliqué sur "fchier/importer" au lieu de "fichier/charger
la ruche..." si c'est ça, heuresement que ouinouin à refusé, t'aurais
explosé ta BDR sinon.
"importer", c'est comme double-cliquer sur un .REG pour le fusionner
dans ta BDR active.
ouvre le regedit
place-toi sur HKU
fichier / charger la ruche -> va chercher le ntuser.dat
nom de clef temporaire ..t'as qu'a mettre "toto"
tu explore ..
et t'oubli pas avant de ferme REGEDIT de te remetre sur "toto" et
fichier / décharger
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Perso, elle me semble suspect, elle n'estpas bidouillé pas à ma connaissance sur un XP "MS", et sur un XP "XP mode" j'en suis sur, je viens de vérifeir, cette clef existe mais ne contient pas de bidouillage de ce genre.
...
Tu peut aller fouiner dedans en utilisant ce REGEDIT là : http://www.codeproject.com/KB/applications/NtRegEdit.aspx
Avant cela, j'ai voulu aller voir si cette ligne existe dans la BdR du disque précédent que j'ai changé pour le disque actuel qui contient cette ligne suspecte.
Je ne parviens pas à la lire, même en utilisant le regedit se trouvant sur ce disque. Windows refuse : --------------------------- Éditeur du Registre --------------------------- Impossible d'importer F:Documents and SettingsPapantuser.dat : Le fichier spécifié n'est pas un script du Registre.
Vous pouvez uniquement importer des fichiers du Registre binaires à partir de l'éditeur du Registre. --------------------------- OK ---------------------------
Comment puis-je faire ?
T'aurais pas cliqué sur "fchier/importer" au lieu de "fichier/charger la ruche..." si c'est ça, heuresement que ouinouin à refusé, t'aurais explosé ta BDR sinon.
"importer", c'est comme double-cliquer sur un .REG pour le fusionner dans ta BDR active.
ouvre le regedit place-toi sur HKU fichier / charger la ruche -> va chercher le ntuser.dat nom de clef temporaire ..t'as qu'a mettre "toto" tu explore .. et t'oubli pas avant de ferme REGEDIT de te remetre sur "toto" et fichier / décharger
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.