- Сообщения
- 7,866
- Реакции
- 6,621
Инструмент Registry Key Type Analyzer (доступен, начиная с HiJackThis+ v3.0.0.1)
Пригодится исследователям и разработчикам, а также хелперам, кто хочет лучше понять наличие WOW переадресации у ключа.
Часть выдаваемой инфы недокументирована Microsoft.
Перечисление значений, которые может выдавать инструмент:
Практический пример:
Кусок лога MBAM:
Примечание: HiJackThis+ никогда не выводит в лог запись x32, если она физически является одним и тем же ключом с x64 (Shared), либо если зеркалируется (Reflected).
Пригодится исследователям и разработчикам, а также хелперам, кто хочет лучше понять наличие WOW переадресации у ключа.
Часть выдаваемой инфы недокументирована Microsoft.
Перечисление значений, которые может выдавать инструмент:
- Native Name - физическое расположение ключа (например, HKEY_CURRENT_USER, это \REGISTRY\USER\<SID> или HKU\<SID>)
- Date Modification - время последнего изменения параметров ключа
- Keys Count - покажет количество параметров, и отдельно кол-во подключей
- Key/Values max length - покажет кол-во символов максимального по длине имени параметра / имени ключа / значения параметра
- Redirection (подробнее читайте в этой статье):
- Not applied - ключ обычный, и не имеет x32 представления
- WOW Available - ключ переадресуемый и имеет Wow6432Node компаньона; 32-битные процессы, запущенные на 64-битной ОС, по-умолчанию будут перенаправляться на x32-битное представление ключа, если не отключат редиректор
- Shared - ключ имеет 2 представления, однако физически это один и тот же ключ
- Reflected - ключ имеет 2 представления, однако система автоматически синхронизирует значения параметров в этих ключах (актуально для систем, старее Windows 7)
- Symlink - ключ является симлинком, т.е. ведёт к другому ключу (смотрите колонку "Symlink", чтобы узнать конечный путь).
- Virtualization - допустимые значения: Candidate/Enabled/Target/Store/Source (Подробнее здесь и здесь).
- Flags - допустимые значения: Clear/DontVirtualize/DontSilentFail/Recurse (недокументировано, но что-то можно найти здесь).
- Volatility - допустимые значения: Volatile/No (Подробнее здесь).
- Symlink - выдаёт целевой путь символьной ссылки (симлинка), или ничего, если ключ - не симлинк (Подробнее здесь).
- Security Descriptor - выдаёт DACL (права доступа к ключу) в формате SDDL.
- Class name - имя назначенного класса (обычно там пусто); предназначение этого поля неясно, но если вы знаете, поделитесь инфой.
- Recursively - будет проверять каждый из вложенных ключей
- Query x32 View - отдельно добавит проверку x32 представления ключа, если таковое имеется
- Create key if not exists - инструмент может проверить только ключ, который существует; вы можете поставить сюда галочку, чтобы автоматически создать пустой ключ, если он не существует, проверить его, и удалить по окончанию всей проверки.
Практический пример:
Кусок лога MBAM:
Вопрос: надо понять, это зловред прописал ключи в 2 местах (x64 и x32), или это MBAM так сделан, что выводит оба представления даже, если ОС сама синхронизирует их:
* вставляем ключ HKLM\SOFTWARE\POLICIES\GOOGLE\CHROME\ExtensionInstallForcelist в поле
* оставляем отметку только на "Redirection"
* можно оставить и "Native Name"
* также можем поставить "Query x32 view" (в этом случае отдельно будут запрошены данные о ключе HKLM\SOFTWARE\Wow6432Node\POLICIES\GOOGLE\CHROME\ExtensionInstallForcelist)
Жмём Go, и получаем ответ "Shared", т.е. с точки зрения ОС - это один и тот же ключ. Проверка WOW представления данного ключа в MBAM сделана излишне.Примечание: HiJackThis+ никогда не выводит в лог запись x32, если она физически является одним и тем же ключом с x64 (Shared), либо если зеркалируется (Reflected).
Последнее редактирование:
