хочу проверить один файл на "паршивость" и начал с анализа реестра.
При запуске создает такие записи:
5:40:48,4424879 03-01.exe 392 RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 66 5B B8 EA C0 D3 C2 31 77 0A 93 1D 01 8E F0 FD
5:40:48,4426407 03-01.exe 392 RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 3B 86 A5 FD B9 DF 02 E8 5B 1F 1C 9E 13 5B 09 3F
5:40:48,4427595 03-01.exe 392 RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 58 7A E6 E3 5D FE EA D3 B7 CE F7 0B 7E CE 10 8A
5:40:48,4443471 03-01.exe 392 RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 77 29 59 8D 47 F2 8B 43 A1 27 3E 4F 0A A9 BA F1
5:40:48,4444653 03-01.exe 392 RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: B5 32 73 ED 1E 4B BF 54 37 21 21 46 22 9C F3 A9
5:40:48,4445764 03-01.exe 392 RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 6D 8E F4 45 11 7C 8D 76 E0 67 BE 14 0B 8B A1 4A
5:40:48,4447072 03-01.exe 392 RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: A3 1B 00 9D 91 D2 BE 08 66 D7 22 AB FE 39 D8 12

подскажите пожалуйста, что это за ключи такие создаются/записываются?

P.S. файл что то типа эмулятор вируса, это по учебе как бы.. просто никак не могу понять суть этих ключей.

Вот все записи, что эта программа создает/изменяет в реестре:
5:40:48,4074689 03-01.exe 392 RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: B6 B8 CB 64 5A BC 96 E1 AA 56 29 D9 17 8A DF 30
5:40:48,4185067 03-01.exe 392 WriteFile C:\WINDOWS\system32\vmx32to64.exe SUCCESS Offset: 0, Length: 7*168
5:40:48,4192297 03-01.exe 392 RegSetValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver SUCCESS Type: REG_SZ, Length: 510, Data: C:\WINDOWS\system32\vmx32to64.exe
5:40:48,4424879 03-01.exe 392 RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 66 5B B8 EA C0 D3 C2 31 77 0A 93 1D 01 8E F0 FD
5:40:48,4426407 03-01.exe 392 RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 3B 86 A5 FD B9 DF 02 E8 5B 1F 1C 9E 13 5B 09 3F
5:40:48,4427595 03-01.exe 392 RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 58 7A E6 E3 5D FE EA D3 B7 CE F7 0B 7E CE 10 8A
5:40:48,4443471 03-01.exe 392 RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 77 29 59 8D 47 F2 8B 43 A1 27 3E 4F 0A A9 BA F1
5:40:48,4444653 03-01.exe 392 RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: B5 32 73 ED 1E 4B BF 54 37 21 21 46 22 9C F3 A9
5:40:48,4445764 03-01.exe 392 RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: 6D 8E F4 45 11 7C 8D 76 E0 67 BE 14 0B 8B A1 4A
5:40:48,4447072 03-01.exe 392 RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type: REG_BINARY, Length: 80, Data: A3 1B 00 9D 91 D2 BE 08 66 D7 22 AB FE 39 D8 12

из всего я только понял, что создается файл: vmx32to64.exe и это дело пишется в автозапуск.
а вот что делают те ключи, что написал первом блоке - не могу понять.

RNG is used by the Windows Random Number Generator to enhance random number generation from one computer startup to another.

Другими словами, ключ используется генератором случайных чисел.

При запуске создает такие записи: »это не он.
RNG\Seed постоянно меняется самой windows, даже когда ничего не происходит.

вам нужно анализировать только это
5:40:48,4185067 03-01.exe 392 WriteFile C:\WINDOWS\system32\vmx32to64.exe SUCCESS Offset: 0, Length: 7*168
5:40:48,4192297 03-01.exe 392 RegSetValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver SUCCESS Type: REG_SZ, Length: 510, Data: C:\WINDOWS\system32\vmx32to64.exe

А нахрена постоянно генерировать случайных чисел?
для чего они нужны системе?

для чего они нужны системе? »
Для любых задач, связанных с шифрованием данных. Поскольку не существует и в принципе не может существовать алгоритма генерации случайных чисел, то для того, чтобы их всё же хоть более-менее "случайно" генерировать, нужна энтропия. Собираются данные от всевозможных источников, от клавиатуры/мышки и сетевых интерфейсов до температурных датчиков и на их основе генерируется seed генератора ПСЧ. И происходит это постоянно.

vadblm,

хмм, как все "запущено" )))
получатся он постоянно генерирует, типа "а вдруг война, чтоб было откуда брать случайные значение" ?

как все "запущено" )) »многим частям Windows около 25 лет, это фактически ископаемая окаменелость!
Такова расплата за через чур долгую жизнь.

Сделал по этой статье вот ссылка http://forum.oszone.net/showthread.php?p=2708644#post2708644 Подскажите, как через реестр на вин виста, увеличит размер иконок внизу на панели, где открываются окна. Панель задач уже увеличил значки, вот хочу и для открытых окон. На скрине обведено то, что нужно поменять?

http://forum.oszone.net/attachment.php?attachmentid=143179&d=1486121317