Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Windows Windows XP Discussions Générales RootKit Revealer - Normaux ou pas les zéros dans une certaine clé de la BdR ?

RootKit Revealer - Normaux ou pas les zéros dans une certaine clé de la BdR ?

7 réponses
Avatar
Ghost-Rider
Bonjour,

Une analyse par RootKit Revealer de mon disque tout neuf avec Windows XP
Pro SP2 installé depuis le CD DELL et avec maj par Windows Update donne
l'anomalie suivante :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\ 14/05/2010
14:38 0 bytes Key name contains embedded nulls (*)

L'aide RKR en parle bien :
Key name contains embedded nulls.
The Windows API treats key names as null-terminated strings whereas the
kernel treats them as counted strings. Thus, it is possible to create
Registry keys that are visible to the operating system, yet only
partially visible to Registry tools like Regedit. The Reghide sample
code at Sysinternals demonstrates this technique, which is used by both
malware and rootkits to hide Registry data.

...mais ne dit pas si cette ligne est normale ou pas.
Elle n'apparaît pas dans la BdR par Regedit.
Google ne m'apprends rien non plus.

Question : cette ligne, apparemment dissimulée sciemment dans la BdR se
retrouvera-elle de toutes façons sur les système sains ?

Merci

--
Ghost Rider

"Aimez-vous les uns les autres".
Jésus-Christ
Signaler un problème avec ce contenu

7 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Sniper
Ghost-Rider a formulé ce mardi 18/05/2010, Sainte Corinne :

Windows XP Pro SP2 installé depuis le CD DELL



Avec Dell, Compaq, Acer, HP, et sous-marques, il faut s'attendre à
tout. Même (et surtout) à des tatouages en Rootkit...
Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est
sûrement caché ailleurs, sinon où serait la sécurité des CD de
restauration de chaque marque ?

--
Sniper

On ne dit pas un "suspect" mais un "lèche cul" !
Avatar
Tr
*Ecrit* *par* *Sniper*:
Ghost-Rider a formulé ce mardi 18/05/2010, Sainte Corinne :

Windows XP Pro SP2 installé depuis le CD DELL



Avec Dell, Compaq, Acer, HP, et sous-marques, il faut s'attendre à
tout. Même (et surtout) à des tatouages en Rootkit...
Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est
sûrement caché ailleurs, sinon où serait la sécurité des CD de
restauration de chaque marque ?



quelque part sur un secteur du disque dur, non accessible via l'OS, en
gros (j'ai déjà trouvé dans des machines des cd de tatouage...)

--
Croyez en la force de l'exemple. (Vécu)

Avatar
Sniper
vient de nous énoncer dans son message
:

Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est sûrement
caché ailleurs, sinon où serait la sécurité des CD de restauration de
chaque marque ?



quelque part sur un secteur du disque dur, non accessible via l'OS, en gros
(j'ai déjà trouvé dans des machines des cd de tatouage...)



Non, chez Fujitsu, les CDs de restauration (en fait reset usine) ne
fonctionnent que sur le PC prévu pour. Ce sont les CDs qui sont tatoués
(sérialisés) par rapport au numéro de série de la carte mère. On peut
changer un ou les deux disques durs, ça se réinstalle sans souci. Par
contre, si on change la carte-mère... ils faut recommander les CDs
(58¤) :-/

--
Sniper

Quand l'homme a découvert que la vache donnait du lait, que
cherchait-il exactement à faire ce jour-là ? - Philippe Geluck
Avatar
Tr
*Ecrit* *par* *Sniper*:
vient de nous énoncer dans son message
:

Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est
sûrement caché ailleurs, sinon où serait la sécurité des CD de
restauration de chaque marque ?



quelque part sur un secteur du disque dur, non accessible via l'OS,
en gros (j'ai déjà trouvé dans des machines des cd de tatouage...)



Non, chez Fujitsu, les CDs de restauration (en fait reset usine) ne
fonctionnent que sur le PC prévu pour. Ce sont les CDs qui sont
tatoués (sérialisés) par rapport au numéro de série de la carte mère.
On peut changer un ou les deux disques durs, ça se réinstalle sans
souci. Par contre, si on change la carte-mère... ils faut recommander
les CDs (58¤) :-/



pour la carte mère, évidemment, c'est encore plus simple maintenant.
j'avais eu l'occasion d'analyser il y a quelques années un tatouage
disque dur, c'est pour ça que j'ai pensé d'abord à ce vieux système.

--
Pour être célèbre, il faut avoir une vie susceptible d'intéresser les
autres. (ça coule de source, hein...)

Avatar
Ascadix
Ghost-Rider a formulé ce mardi :
Bonjour,

Une analyse par RootKit Revealer de mon disque tout neuf avec Windows XP Pro
SP2 installé depuis le CD DELL et avec maj par Windows Update donne
l'anomalie suivante :
HKLMSOFTWAREMicrosoftWindowsCurrentVersionReinstall 14/05/2010 14:38 0
bytes Key name contains embedded nulls (*)

L'aide RKR en parle bien :
Key name contains embedded nulls.
The Windows API treats key names as null-terminated strings whereas the
kernel treats them as counted strings. Thus, it is possible to create
Registry keys that are visible to the operating system, yet only partially
visible to Registry tools like Regedit. The Reghide sample code at
Sysinternals demonstrates this technique, which is used by both malware and
rootkits to hide Registry data.

...mais ne dit pas si cette ligne est normale ou pas.
Elle n'apparaît pas dans la BdR par Regedit.
Google ne m'apprends rien non plus.



Perso, elle me semble suspect, elle n'estpas bidouillé pas à ma
connaissance sur un XP "MS", et sur un XP "XP mode" j'en suis sur, je
viens de vérifeir, cette clef existe mais ne contient pas de
bidouillage de ce genre.

------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionReinstall]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionReinstall000]
"DeviceDesc"="S3 Trio32/64"
"DisplayName"="S3 Trio32/64"
"Mfg"="S3"
"ProviderName"="Microsoft"
"DeviceInstanceIds"=hex(7):50,00,43,00,49,00,5c,00,56,00,45,00,4e,00,5f,00,35,

00,33,00,33,00,33,00,26,00,44,00,45,00,56,00,5f,00,38,00,38,00,31,00,31,00,

26,00,53,00,55,00,42,00,53,00,59,00,53,00,5f,00,30,00,30,00,30,00,30,00,30,

00,30,00,30,00,30,00,26,00,52,00,45,00,56,00,5f,00,30,00,30,00,5c,00,33,00,

26,00,32,00,36,00,37,00,41,00,36,00,31,00,36,00,41,00,26,00,30,00,26,00,34,
00,30,00,00,00,00,00
"ReinstallString"="C:WINDOWSsystem32ReinstallBackups000DriverFilesdisplay.inf"


------------------------------------------

en tout

Tu peut aller fouiner dedans en utilisant ce REGEDIT là :
http://www.codeproject.com/KB/applications/NtRegEdit.aspx

télécharge le + gros fichier, il y les versions compilés dedans.


Question : cette ligne, apparemment dissimulée sciemment dans la BdR se
retrouvera-elle de toutes façons sur les système sains ?



Nan, pas avec cette anomalie à ma connaissance.

Merci



--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Avatar
Ghost-Rider
Le 19/05/2010 02:07, Ascadix a écrit :
Ghost-Rider a formulé ce mardi :

HKLMSOFTWAREMicrosoftWindowsCurrentVersionReinstall 14/05/2010
14:38 0 bytes Key name contains embedded nulls (*)



Perso, elle me semble suspect, elle n'estpas bidouillé pas à ma
connaissance sur un XP "MS", et sur un XP "XP mode" j'en suis sur, je
viens de vérifeir, cette clef existe mais ne contient pas de bidouillage
de ce genre.


...
Tu peut aller fouiner dedans en utilisant ce REGEDIT là :
http://www.codeproject.com/KB/applications/NtRegEdit.aspx



Avant cela, j'ai voulu aller voir si cette ligne existe dans la BdR du
disque précédent que j'ai changé pour le disque actuel qui contient
cette ligne suspecte.

Je ne parviens pas à la lire, même en utilisant le regedit se trouvant
sur ce disque. Windows refuse :
---------------------------
Éditeur du Registre
---------------------------
Impossible d'importer F:Documents and SettingsPapantuser.dat : Le
fichier spécifié n'est pas un script du Registre.

Vous pouvez uniquement importer des fichiers du Registre binaires à
partir de l'éditeur du Registre.
---------------------------
OK
---------------------------

Comment puis-je faire ?

--
Ghost Rider

"Aimez-vous les uns les autres".
Jésus-Christ
Avatar
Ascadix
Ghost-Rider a exprimé avec précision :
Le 19/05/2010 02:07, Ascadix a écrit :
Ghost-Rider a formulé ce mardi :



HKLMSOFTWAREMicrosoftWindowsCurrentVersionReinstall 14/05/2010
14:38 0 bytes Key name contains embedded nulls (*)





Perso, elle me semble suspect, elle n'estpas bidouillé pas à ma
connaissance sur un XP "MS", et sur un XP "XP mode" j'en suis sur, je
viens de vérifeir, cette clef existe mais ne contient pas de bidouillage
de ce genre.


...
Tu peut aller fouiner dedans en utilisant ce REGEDIT là :
http://www.codeproject.com/KB/applications/NtRegEdit.aspx



Avant cela, j'ai voulu aller voir si cette ligne existe dans la BdR du disque
précédent que j'ai changé pour le disque actuel qui contient cette ligne
suspecte.

Je ne parviens pas à la lire, même en utilisant le regedit se trouvant sur ce
disque. Windows refuse :
---------------------------
Éditeur du Registre
---------------------------
Impossible d'importer F:Documents and SettingsPapantuser.dat : Le fichier
spécifié n'est pas un script du Registre.

Vous pouvez uniquement importer des fichiers du Registre binaires à partir de
l'éditeur du Registre.
---------------------------
OK
---------------------------

Comment puis-je faire ?



T'aurais pas cliqué sur "fchier/importer" au lieu de "fichier/charger
la ruche..." si c'est ça, heuresement que ouinouin à refusé, t'aurais
explosé ta BDR sinon.

"importer", c'est comme double-cliquer sur un .REG pour le fusionner
dans ta BDR active.

ouvre le regedit
place-toi sur HKU
fichier / charger la ruche -> va chercher le ntuser.dat
nom de clef temporaire ..t'as qu'a mettre "toto"
tu explore ..
et t'oubli pas avant de ferme REGEDIT de te remetre sur "toto" et
fichier / décharger

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.