RootKit Revealer - Normaux ou pas les zéros dans une certaine clé de la BdR ?

Le
Ghost-Rider
Bonjour,

Une analyse par RootKit Revealer de mon disque tout neuf avec Windows XP
Pro SP2 installé depuis le CD DELL et avec maj par Windows Update donne
l'anomalie suivante :
HKLMSOFTWAREMicrosoftWindowsCurrentVersionReinstall 14/05/2010
14:38 0 bytes Key name contains embedded nulls (*)

L'aide RKR en parle bien :
Key name contains embedded nulls.
The Windows API treats key names as null-terminated strings whereas the
kernel treats them as counted strings. Thus, it is possible to create
Registry keys that are visible to the operating system, yet only
partially visible to Registry tools like Regedit. The Reghide sample
code at Sysinternals demonstrates this technique, which is used by both
malware and rootkits to hide Registry data.

mais ne dit pas si cette ligne est normale ou pas.
Elle n'apparaît pas dans la BdR par Regedit.
Google ne m'apprends rien non plus.

Question : cette ligne, apparemment dissimulée sciemment dans la BdR se
retrouvera-elle de toutes façons sur les système sains ?

Merci

--
Ghost Rider

"Aimez-vous les uns les autres".
Jésus-Christ
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Sniper
Le #22133881
Ghost-Rider a formulé ce mardi 18/05/2010, Sainte Corinne :

Windows XP Pro SP2 installé depuis le CD DELL



Avec Dell, Compaq, Acer, HP, et sous-marques, il faut s'attendre à
tout. Même (et surtout) à des tatouages en Rootkit...
Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est
sûrement caché ailleurs, sinon où serait la sécurité des CD de
restauration de chaque marque ?

--
Sniper

On ne dit pas un "suspect" mais un "lèche cul" !
Tr
Le #22134011
*Ecrit* *par* *Sniper*:
Ghost-Rider a formulé ce mardi 18/05/2010, Sainte Corinne :

Windows XP Pro SP2 installé depuis le CD DELL



Avec Dell, Compaq, Acer, HP, et sous-marques, il faut s'attendre à
tout. Même (et surtout) à des tatouages en Rootkit...
Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est
sûrement caché ailleurs, sinon où serait la sécurité des CD de
restauration de chaque marque ?



quelque part sur un secteur du disque dur, non accessible via l'OS, en
gros (j'ai déjà trouvé dans des machines des cd de tatouage...)

--
Croyez en la force de l'exemple. (Vécu)

Sniper
Le #22135291
vient de nous énoncer dans son message

Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est sûrement
caché ailleurs, sinon où serait la sécurité des CD de restauration de
chaque marque ?



quelque part sur un secteur du disque dur, non accessible via l'OS, en gros
(j'ai déjà trouvé dans des machines des cd de tatouage...)



Non, chez Fujitsu, les CDs de restauration (en fait reset usine) ne
fonctionnent que sur le PC prévu pour. Ce sont les CDs qui sont tatoués
(sérialisés) par rapport au numéro de série de la carte mère. On peut
changer un ou les deux disques durs, ça se réinstalle sans souci. Par
contre, si on change la carte-mère... ils faut recommander les CDs
(58¤) :-/

--
Sniper

Quand l'homme a découvert que la vache donnait du lait, que
cherchait-il exactement à faire ce jour-là ? - Philippe Geluck
Tr
Le #22135581
*Ecrit* *par* *Sniper*:
vient de nous énoncer dans son message

Perso, sur un Fujitsu-Siemens, je n'ai pas cette clé. Mais c'est
sûrement caché ailleurs, sinon où serait la sécurité des CD de
restauration de chaque marque ?



quelque part sur un secteur du disque dur, non accessible via l'OS,
en gros (j'ai déjà trouvé dans des machines des cd de tatouage...)



Non, chez Fujitsu, les CDs de restauration (en fait reset usine) ne
fonctionnent que sur le PC prévu pour. Ce sont les CDs qui sont
tatoués (sérialisés) par rapport au numéro de série de la carte mère.
On peut changer un ou les deux disques durs, ça se réinstalle sans
souci. Par contre, si on change la carte-mère... ils faut recommander
les CDs (58¤) :-/



pour la carte mère, évidemment, c'est encore plus simple maintenant.
j'avais eu l'occasion d'analyser il y a quelques années un tatouage
disque dur, c'est pour ça que j'ai pensé d'abord à ce vieux système.

--
Pour être célèbre, il faut avoir une vie susceptible d'intéresser les
autres. (ça coule de source, hein...)

Ascadix
Le #22136751
Ghost-Rider a formulé ce mardi :
Bonjour,

Une analyse par RootKit Revealer de mon disque tout neuf avec Windows XP Pro
SP2 installé depuis le CD DELL et avec maj par Windows Update donne
l'anomalie suivante :
HKLMSOFTWAREMicrosoftWindowsCurrentVersionReinstall 14/05/2010 14:38 0
bytes Key name contains embedded nulls (*)

L'aide RKR en parle bien :
Key name contains embedded nulls.
The Windows API treats key names as null-terminated strings whereas the
kernel treats them as counted strings. Thus, it is possible to create
Registry keys that are visible to the operating system, yet only partially
visible to Registry tools like Regedit. The Reghide sample code at
Sysinternals demonstrates this technique, which is used by both malware and
rootkits to hide Registry data.

...mais ne dit pas si cette ligne est normale ou pas.
Elle n'apparaît pas dans la BdR par Regedit.
Google ne m'apprends rien non plus.



Perso, elle me semble suspect, elle n'estpas bidouillé pas à ma
connaissance sur un XP "MS", et sur un XP "XP mode" j'en suis sur, je
viens de vérifeir, cette clef existe mais ne contient pas de
bidouillage de ce genre.

------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionReinstall]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionReinstall000]
"DeviceDesc"="S3 Trio32/64"
"DisplayName"="S3 Trio32/64"
"Mfg"="S3"
"ProviderName"="Microsoft"
"DeviceInstanceIds"=hex(7):50,00,43,00,49,00,5c,00,56,00,45,00,4e,00,5f,00,35,

00,33,00,33,00,33,00,26,00,44,00,45,00,56,00,5f,00,38,00,38,00,31,00,31,00,

26,00,53,00,55,00,42,00,53,00,59,00,53,00,5f,00,30,00,30,00,30,00,30,00,30,

00,30,00,30,00,30,00,26,00,52,00,45,00,56,00,5f,00,30,00,30,00,5c,00,33,00,

26,00,32,00,36,00,37,00,41,00,36,00,31,00,36,00,41,00,26,00,30,00,26,00,34,
00,30,00,00,00,00,00
"ReinstallString"="C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\display.inf"


------------------------------------------

en tout

Tu peut aller fouiner dedans en utilisant ce REGEDIT là :
http://www.codeproject.com/KB/applications/NtRegEdit.aspx

télécharge le + gros fichier, il y les versions compilés dedans.


Question : cette ligne, apparemment dissimulée sciemment dans la BdR se
retrouvera-elle de toutes façons sur les système sains ?



Nan, pas avec cette anomalie à ma connaissance.

Merci



--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Ghost-Rider
Le #22137371
Le 19/05/2010 02:07, Ascadix a écrit :
Ghost-Rider a formulé ce mardi :

HKLMSOFTWAREMicrosoftWindowsCurrentVersionReinstall 14/05/2010
14:38 0 bytes Key name contains embedded nulls (*)



Perso, elle me semble suspect, elle n'estpas bidouillé pas à ma
connaissance sur un XP "MS", et sur un XP "XP mode" j'en suis sur, je
viens de vérifeir, cette clef existe mais ne contient pas de bidouillage
de ce genre.


...
Tu peut aller fouiner dedans en utilisant ce REGEDIT là :
http://www.codeproject.com/KB/applications/NtRegEdit.aspx



Avant cela, j'ai voulu aller voir si cette ligne existe dans la BdR du
disque précédent que j'ai changé pour le disque actuel qui contient
cette ligne suspecte.

Je ne parviens pas à la lire, même en utilisant le regedit se trouvant
sur ce disque. Windows refuse :
---------------------------
Éditeur du Registre
---------------------------
Impossible d'importer F:Documents and SettingsPapantuser.dat : Le
fichier spécifié n'est pas un script du Registre.

Vous pouvez uniquement importer des fichiers du Registre binaires à
partir de l'éditeur du Registre.
---------------------------
OK
---------------------------

Comment puis-je faire ?

--
Ghost Rider

"Aimez-vous les uns les autres".
Jésus-Christ
Ascadix
Le #22140411
Ghost-Rider a exprimé avec précision :
Le 19/05/2010 02:07, Ascadix a écrit :
Ghost-Rider a formulé ce mardi :



HKLMSOFTWAREMicrosoftWindowsCurrentVersionReinstall 14/05/2010
14:38 0 bytes Key name contains embedded nulls (*)





Perso, elle me semble suspect, elle n'estpas bidouillé pas à ma
connaissance sur un XP "MS", et sur un XP "XP mode" j'en suis sur, je
viens de vérifeir, cette clef existe mais ne contient pas de bidouillage
de ce genre.


...
Tu peut aller fouiner dedans en utilisant ce REGEDIT là :
http://www.codeproject.com/KB/applications/NtRegEdit.aspx



Avant cela, j'ai voulu aller voir si cette ligne existe dans la BdR du disque
précédent que j'ai changé pour le disque actuel qui contient cette ligne
suspecte.

Je ne parviens pas à la lire, même en utilisant le regedit se trouvant sur ce
disque. Windows refuse :
---------------------------
Éditeur du Registre
---------------------------
Impossible d'importer F:Documents and SettingsPapantuser.dat : Le fichier
spécifié n'est pas un script du Registre.

Vous pouvez uniquement importer des fichiers du Registre binaires à partir de
l'éditeur du Registre.
---------------------------
OK
---------------------------

Comment puis-je faire ?



T'aurais pas cliqué sur "fchier/importer" au lieu de "fichier/charger
la ruche..." si c'est ça, heuresement que ouinouin à refusé, t'aurais
explosé ta BDR sinon.

"importer", c'est comme double-cliquer sur un .REG pour le fusionner
dans ta BDR active.

ouvre le regedit
place-toi sur HKU
fichier / charger la ruche -> va chercher le ntuser.dat
nom de clef temporaire ..t'as qu'a mettre "toto"
tu explore ..
et t'oubli pas avant de ferme REGEDIT de te remetre sur "toto" et
fichier / décharger

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Publicité
Poster une réponse
Anonyme