Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Хочу все знать (http://forum.oszone.net/forumdisplay.php?f=23)
-   -   [решено] Вопрос по реестру (http://forum.oszone.net/showthread.php?t=265543)

krec 04-08-2013 05:55 2196129
Вопрос по реестру
 
хочу проверить один файл на "паршивость" и начал с анализа реестра.
При запуске создает такие записи:
Код:
5:40:48,4424879        03-01.exe        392        RegSetValue        HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        SUCCESS        Type: REG_BINARY, Length: 80, Data: 66 5B B8 EA C0 D3 C2 31 77 0A 93 1D 01 8E F0 FD
5:40:48,4426407        03-01.exe        392        RegSetValue        HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        SUCCESS        Type: REG_BINARY, Length: 80, Data: 3B 86 A5 FD B9 DF 02 E8 5B 1F 1C 9E 13 5B 09 3F
5:40:48,4427595        03-01.exe        392        RegSetValue        HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        SUCCESS        Type: REG_BINARY, Length: 80, Data: 58 7A E6 E3 5D FE EA D3 B7 CE F7 0B 7E CE 10 8A
5:40:48,4443471        03-01.exe        392        RegSetValue        HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        SUCCESS        Type: REG_BINARY, Length: 80, Data: 77 29 59 8D 47 F2 8B 43 A1 27 3E 4F 0A A9 BA F1
5:40:48,4444653        03-01.exe        392        RegSetValue        HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        SUCCESS        Type: REG_BINARY, Length: 80, Data: B5 32 73 ED 1E 4B BF 54 37 21 21 46 22 9C F3 A9
5:40:48,4445764        03-01.exe        392        RegSetValue        HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        SUCCESS        Type: REG_BINARY, Length: 80, Data: 6D 8E F4 45 11 7C 8D 76 E0 67 BE 14 0B 8B A1 4A
5:40:48,4447072        03-01.exe        392        RegSetValue        HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        SUCCESS        Type: REG_BINARY, Length: 80, Data: A3 1B 00 9D 91 D2 BE 08 66 D7 22 AB FE 39 D8 12
подскажите пожалуйста, что это за ключи такие создаются/записываются?

P.S. файл что то типа эмулятор вируса, это по учебе как бы.. просто никак не могу понять суть этих ключей.

Вот все записи, что эта программа создает/изменяет в реестре:
Код:
5:40:48,4074689        03-01.exe                      392        RegSetValue        HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        SUCCESS        Type: REG_BINARY, Length: 80, Data: B6 B8 CB 64 5A BC 96 E1 AA 56 29 D9 17 8A DF 30
5:40:48,4185067        03-01.exe        392        WriteFile        C:\WINDOWS\system32\vmx32to64.exe        SUCCESS        Offset: 0, Length: 7*168
5:40:48,4192297        03-01.exe        392        RegSetValue        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver        SUCCESS        Type: REG_SZ, Length: 510, Data: C:\WINDOWS\system32\vmx32to64.exe
5:40:48,4424879        03-01.exe        392        RegSetValue        HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        SUCCESS        Type: REG_BINARY, Length: 80, Data: 66 5B B8 EA C0 D3 C2 31 77 0A 93 1D 01 8E F0 FD
5:40:48,4426407        03-01.exe        392        RegSetValue        HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        SUCCESS        Type: REG_BINARY, Length: 80, Data: 3B 86 A5 FD B9 DF 02 E8 5B 1F 1C 9E 13 5B 09 3F
5:40:48,4427595        03-01.exe            392        RegSetValue        HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        SUCCESS        Type: REG_BINARY, Length: 80, Data: 58 7A E6 E3 5D FE EA D3 B7 CE F7 0B 7E CE 10 8A
5:40:48,4443471        03-01.exe                      392        RegSetValue        HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        SUCCESS        Type: REG_BINARY, Length: 80, Data: 77 29 59 8D 47 F2 8B 43 A1 27 3E 4F 0A A9 BA F1
5:40:48,4444653        03-01.exe                      392        RegSetValue        HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        SUCCESS        Type: REG_BINARY, Length: 80, Data: B5 32 73 ED 1E 4B BF 54 37 21 21 46 22 9C F3 A9
5:40:48,4445764        03-01.exe                      392        RegSetValue        HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        SUCCESS        Type: REG_BINARY, Length: 80, Data: 6D 8E F4 45 11 7C 8D 76 E0 67 BE 14 0B 8B A1 4A
5:40:48,4447072        03-01.exe                      392        RegSetValue        HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        SUCCESS        Type: REG_BINARY, Length: 80, Data: A3 1B 00 9D 91 D2 BE 08 66 D7 22 AB FE 39 D8 12
из всего я только понял, что создается файл: vmx32to64.exe и это дело пишется в автозапуск.
а вот что делают те ключи, что написал первом блоке - не могу понять.

LehaMechanic 04-08-2013 08:00 2196142
Цитата:
RNG is used by the Windows Random Number Generator to enhance random number generation from one computer startup to another.
Другими словами, ключ используется генератором случайных чисел.

Amigos 04-08-2013 10:36 2196184
Цитата:
Цитата krec
При запуске создает такие записи: »
это не он.
RNG\Seed постоянно меняется самой windows, даже когда ничего не происходит.

вам нужно анализировать только это
Код:
5:40:48,4185067        03-01.exe        392        WriteFile        C:\WINDOWS\system32\vmx32to64.exe        SUCCESS        Offset: 0, Length: 7*168
5:40:48,4192297        03-01.exe        392        RegSetValue        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver        SUCCESS        Type: REG_SZ, Length: 510, Data: C:\WINDOWS\system32\vmx32to64.exe

krec 04-08-2013 21:18 2196399
А нахрена постоянно генерировать случайных чисел?
для чего они нужны системе?

vadblm 04-08-2013 22:14 2196414
Цитата:
Цитата krec
для чего они нужны системе? »
Для любых задач, связанных с шифрованием данных. Поскольку не существует и в принципе не может существовать алгоритма генерации случайных чисел, то для того, чтобы их всё же хоть более-менее "случайно" генерировать, нужна энтропия. Собираются данные от всевозможных источников, от клавиатуры/мышки и сетевых интерфейсов до температурных датчиков и на их основе генерируется seed генератора ПСЧ. И происходит это постоянно.

krec 06-08-2013 00:50 2196959
vadblm,

хмм, как все "запущено" )))
получатся он постоянно генерирует, типа "а вдруг война, чтоб было откуда брать случайные значение" ?

Amigos 06-08-2013 07:23 2197007
Цитата:
Цитата krec
как все "запущено" )) »
многим частям Windows около 25 лет, это фактически ископаемая окаменелость!
Такова расплата за через чур долгую жизнь.

Алексей_Пупков@vk 04-02-2017 19:17 2708945
Сделал по этой статье вот ссылка http://forum.oszone.net/showthread.p...44#post2708644 Подскажите, как через реестр на вин виста, увеличит размер иконок внизу на панели, где открываются окна. Панель задач уже увеличил значки, вот хочу и для открытых окон. На скрине обведено то, что нужно поменять?

Скрытый текст
http://forum.oszone.net/attachment.p...9&d=1486121317


Время: 16:50.

Время: 16:50.
© OSzone.net 2001-