Versteckte Registry-Einträge (Update)

Montag den 29.08.2005 um 14:52 Uhr

von Frank Ziemann

Eine Reihe von Registry-Tools versagen gänzlich, einige funktionieren unter Windows 2000 nicht richtig.
Ein kürzlich entdeckter Schwachpunkt in Windows ermöglicht das Anlegen von versteckten Registry-Einträgen. Wird eine übermäßig langer Eintrag angelegt, sind später hinzu gefügte normale Einträge mit Regedit nicht sichtbar ( wir berichteten ). Nach Bekanntwerden dieser möglichen Gefahr gibt es widersprüchliche Aussagen darüber, welche Programme die versteckten Einträge anzeigen können.

Wir haben eigene Tests gemacht und einige Registry-Tools sowohl unter Windows 2000 als auch unter Windows XP (ohne Service Pack und mit Service Pack 2) geprüft. Dabei zeigt sich, dass es möglich ist, versteckte Registry-Einträge anzulegen, die beim Starten von Windows verarbeitet werden, auch wenn zuvor ein überlanger Eintrag eingefügt wird.

Windows 2000 wird anscheinend von den Programmierern stiefmütterlich behandelt. Selbst die Programme, die alle Einträge unter XP korrekt anzeigen, schaffen dies nicht unter Windows 2000. Unter Windows XP können sie die überlangen Einträge auch wieder entfernen - das Programm von Vilma stürzt dabei zwar ab, entfernt jedoch zuvor den langen Eintrag. Das Kommandozeilenprogramm "reg.exe" muss unter Windows 2000 von der Windows-CD nachinstalliert werden (Ordner \Support\Tools\Support.cab).

Software
Win 2000
Win XP
reg
+/+
+/+
regedit
-/-
-/-
regedt32
+/+
-/-
msconfig
n/a
-/+
MS Antispyware
n/a
-/-
AutoRuns 8.13
-/-
-/-
HijackThis 1.99.1
-/-
+/+
StartupList 1.5.2 *)
-/-
-/-
RegAlyzer 1.1
-/+
+/+
RegCool 1.304
-/+
+/+
Registry Explorer 1.4.4
-/-
-/-
Vilma RegExp 1.6
-/+
+/+ **)

*) Bestandteil von HijackThis
**) stürzt nach Entfernen ab, entfernt jedoch korrekt

+/+ zeigt beide Einträge an und entfernt sie auch korrekt
-/+ zeigt nur den zweiten, kurzen Eintrag an
-/- zeigt keinen der eingefügten Eintrage an

Einige Programmautoren haben bereits neue Versionen ihrer Software in Aussicht gestellt. Auf die Frage, wie Antivirus-Software auf einem infizierten System mit überlangen Registry-Einträgen zurecht kommen, gibt es noch keine Antwort.

Montag den 29.08.2005 um 14:52 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
87428