# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  > Антируткиты  >  Подскажите программу, делающие снимки реестра другой (неактивной) Windows XP

## uuu99950

Люди !

Подскажите, кто знает, программу, умеющую делать снимки реестра другой (неактивной) Windows XP.

Нашел уже несколько подобных программ, но все они имеют один и тот же недостаток: слепки системного реестра - они умеют делать только из-под активной ОС  :Sad: 

Как будто школьники списали друг у друга одно и то же задание.

RegSnap Pro... и т.д.  -  все программы сделаны как под копирку   У всех отсутствует возможность делать слепок "холодного" реестра - то есть обрабатывать реестр незапущенной копии Windows, как файлы.

И только одна утилита российского разработчика (*Белогорохов Юрий Павлович*), под названием RegShot - умеет это делать.

Но в RegShot нет возможности делать слепок всего холодного реестра сразу, приходится по одному файлу реестра "фотографировать".

И нет возмодности получить отчеты нужного вида - очень много мусорной, ненужной информации в отчетах - а нужного варианта нету. 

Ну и красивее западные программы  :Smiley:   Хотя это не главное.

Поразительно, но нет требуемого софта на рынке !  Ни платного, ни бесплатного.

***********************************

Всего то и должна уметь программа:

1.  Путем анализа системного реестра ИЗ ПОД ДРУГОЙ ОПЕРАЦИОННОЙ СИСТЕМЫ !!!  - составлять список "ветвь реестра - файл EXE или SYS или DLL вместе с полным путем к файлу

2.  Уметь лазить по этим путям, проверять лежат ли там эти файлы до сих пор, и считать контрольную сумму MD5 для этих файлов

3.  Список созданный в п.1 вместе со значениями MD5 - сохранять в зашифрованную базу-эталон.

4.  При последующих запусках программы уметь сравнивать, что изменилось В ХОЛОДНОМ РЕЕСТРЕ, по сравнению с эталоном

5.  Файл-эталон уметь обновлять, при этом хранить несколько последних версий эталона.

6.  При обнаружении, что в реестре появился новый (или с измененной MD5) файл  EXE, SYS, DLL с полным путем

- сообщать об этом пользователю

7.  Предлагать пользователю переименовать расширения у вновь обнаруженных или измененных по MD5 файлов EXE, SYS, DLL

- по одному, или сразу у всех.  Расширения новых (измененных) файлов EXE переименовывать в EEE, SYS переименовывать в SSS, DLL переименовывать в DDD.

8.  Программу планируется запускать с CD, имеющего загрузочный вариант Windows (например сделанный при помощи стандартного PE Builder).

*******************************
Как видим, программа должна уметь делать слепки системного реестра из под другой копии Windows (да хоть из под DOS), и помимо изготовления слепков - делать еще некоторые простые действия.

Анализ системного реестра из под активной ОС - это пустая трата времени.  Потому что это занятие всегда будет оставаться ненадежным.  Технологии руткитов и анти-руткитов будут и дальше по очереди побеждать друг дружку.

 - И потом !  Когда существующие программы делают снимок системного реестра АКТИВНОЙ ОС 
- то они на какой момент времени это делают-то ?

  Я утверждаю, что в общем случае, в момент загрузки компьютера - состояние системного реестра было другим !

  А напишу-ка я руткит, который будет рано загружаться в память, удалять свои ветви из системного реестра и файлы с диска.  А при парковке ОС будет назад прописывать себя в системный реестр, и снова сохранять свои файлы на диск.

  Увидим ли мы строчки системного реестра для такого вируса ?  Если будем делать слепки реестра из под активной ОС ?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Surfer

Во некоторых антируткитах есть функция вызова BSOD. Думаю это как раз на тот случай, когда руткит удаляет себя.

----------


## uuu99950

Никакой вызов никакой функции - не дает гарантии.

Единственное более менее надежное действие - это парсинг (разбор) файлов "мертвого тела".   То есть анализ текстовых файлов из под своей, заведомо чистой операционной системы.

  Я вчера в очередной раз поставил себе на комп кейлоггер "Elite Keylogger", скачанный с их сайта.

  И наслаждался видом, что ни DrWeb, ни Avira Antivir, ни AVZ4 - с обновленными базами - ничего не видят.

  Наблюдал, как этот кейлоггер то останавливает, то снова запускает, то вообще удаляет свои сервисы из системного реестра, когда я запускаю антивирусы, или программы для снятия слепка активного реестра...

  Ничего не нашел, не ругнулся AVZ4 и тогда, когда я поставил галочки "обезвреживать рутикы кернел мод, и рутикы юзер мод".

  Низкоуровневые драйверы этого кейлоггера маскировали свою загрузку и последующие обращения к реестру, а также сами строки в системном реестре.

  В общем, из под активного вредоноса - любые действия всегда будут оставаться ненадежными.

  И на анти-руткитовую утилиту от Марка Руссиновича, который заявлял что его Rootkir Revealer 1.71 будет обнаруживать абсолютно все руткиты - уже хакеры выложили несколько руткитов, не ловящихся этой программой.

  Если уж и имееет смысл создавать ПО по антивирусной безопасности - то только с элементами правильного проектирования.

  Как только программист сказал "я могу использовать функцию для обнаружения"...  и это все из под активной ОС - это путь в никуда.

  Делать все надо исключительно из под другой (своей гарантированно чистой) ОС, и для всего что ни поподя, считать и проверять защищенные контрольные суммы не хуже чем MD5.

  Анализировать реестр нужно целиком, файлы полностью слева направо, как обычные текстовые файлы, не расчитывая что мы знаем все места автозагрузки.

 На CD со своей ОС нужно класть произвольный файл например MP3 или JPG. Этот файл будет исполльзоваться как ключ, для шифровки базы-эталона (ее придется сохранять на винчестер скорее всего)

 Сам ключ, который был использован для шифровки нашей базы-эталона (со списками полных путей и имен файлов, и их MD5 или более крутой суммы)
- должен отсутствовать на винчестерах.

 Для шифровки базы-эталона нужно использовать метод одноразового блокнота. Потому что этот метод является невзламываемым. Единственный способ - завладение блокнотом. А блокнот у нас записан на CD.

  Если же программист по безопасности собрался запускать какие-то "функции" из под зараженной ОС - то это в общем случае, напрасный труд. Потому что нет гарантии надежного результата.

  В защищенную базу должны класться MD5 всех файлов, участвующих в автозагрузке. Потому что не на все файлы, участвующие в автозагрузке - есть записи в системном реестре.

  Начиная с файла:

  ntldr ->  boot.ini ->  и т.д - для всех таких файлов должна контролироваться MD5 из под другой ОС.

Вот например, получил я состав файла ntbtlog.txt, поставив в файле boot.ini
ключ " /sos /bootlog"

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOW  S
[operating systems]
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Windo  ws XP - 3 load from E" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windo  ws XP - 2 load from C" /noexecute=optin /fastdetect /sos /bootlog
multi(0)disk(0)rdisk(0)partition(4)\WINDOWS="Windo  ws XP - 4 load from D" /noexecute=optin /fastdetect

----------------

 Service Pack 2 1  5 2010 00:53:26.500
Loaded driver \WINDOWS\system32\ntkrnlpa.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver safemon.sys
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver dmload.sys
Loaded driver dmio.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltMgr.sys
Loaded driver sr.sys
Loaded driver dwprot.sys
Loaded driver \WINDOWS\system32\drivers\NDIS.SYS
Loaded driver \WINDOWS\system32\drivers\TDI.SYS
Loaded driver KSecDD.sys
Loaded driver DefragFS.sys
Loaded driver Ntfs.sys
Loaded driver timntr.sys
Loaded driver speedfan.sys
Loaded driver snapman.sys
Loaded driver Mup.sys
Loaded driver giveio.sys
Loaded driver \SystemRoot\system32\DRIVERS\processr.sys
Loaded driver \SystemRoot\system32\DRIVERS\ati2mtag.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbohci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\drivers\pfc.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\drivers\TT1724ht.sys
Loaded driver \SystemRoot\system32\drivers\TT1724sa.sys
Loaded driver \SystemRoot\system32\DRIVERS\RTL8139.SYS
Loaded driver \SystemRoot\system32\drivers\ALCXWDM.SYS
Loaded driver \SystemRoot\system32\DRIVERS\fdc.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\parport.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\nfilter.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\TMETER.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdpdr.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Loaded driver \SystemRoot\system32\DRIVERS\flpydisk.sys
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\system32\DRIVERS\ehdrv.sys
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\nltdi.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\system32\DRIVERS\epfwtdir.sys
Loaded driver \SystemRoot\system32\DRIVERS\avfwot.sys
Did not load driver \SystemRoot\system32\drivers\ssidrvnt.sys
Loaded driver \SystemRoot\System32\drivers\ws2ifsl.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\ssmdrv.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \??\C:\WINDOWS\system32\mbmiodrvr.sys
Loaded driver \??\C:\Program Files\UltraISO\drivers\ISODrive.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \SystemRoot\system32\DRIVERS\avipbb.sys
Loaded driver \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
Did not load driver \SystemRoot\system32\drivers\acpi2k.sys
Loaded driver \SystemRoot\system32\DRIVERS\avgntflt.sys
Loaded driver \??\C:\PROGRA~1\DrWeb\spider.sys
Loaded driver \SystemRoot\system32\DRIVERS\tifsfilt.sys
Did not load driver \SystemRoot\system32\DRIVERS\rdbss.sys
Did not load driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxdav.sys
Did not load driver \SystemRoot\system32\DRIVERS\avgntflt.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Loaded driver \SystemRoot\System32\Drivers\ParVdm.SYS
Did not load driver \??\C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwshield.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Loaded driver \SystemRoot\system32\DRIVERS\srv.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\DRIVERS\avfwim.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys
Loaded driver \??\D:\Program Files\GhostSecuritySuite\ghostsec.sys
Loaded driver \??\C:\DOCUME~1\UUU11~1.COM\LOCALS~1\Temp\pwtdqpoc  .sys

 Это первая часть автозагрузки моей Windows XP SP2.

Так вот, как минимум для каждого из файлов этого списка - нужно контролировать MD5 из под другой копии Windows !  А список естественно нарастить тем, что автозагружается после этой порции.

----------


## Erekle

На заведомо чистой системе ставится нормальный ХИПС, тщательно дорабатываются правила, особенно по обращению с реестром, и слежение за изменениями в нём, а также за контрольными суммами - его дело, а мы отдыхаем. По крайней мере, по этой части. Таким образом имеем не одноразовый инструмент, а постоянный антируткит.

Создавать слепки, контролировать системный каталог через этот слепок путём поиска всех приложений в нём и сверки с диском, заводить базу-эталон, шифровать её оригинальным способом - слишком осложненный подход к делу.

Я не очень понял насчёт другой системы. Если речь о одновременном лечении, достаточно редактирования "холодного" реестра. Если проверять перед- или при каждой загрузке с другого раздела на диске... Это как? И это опять сложно.

Но всё это моё личное соображение, которое может быть неправильным.

----------


## Oyster

Есть плагин RegShot для BartPE

----------


## uuu99950

> Есть плагин RegShot для BartPE



Спасибо, испытаю этот плагин 

*Добавлено через 1 час 10 минут*

[QUOTE=Erekle;554416]На заведомо чистой системе ставится нормальный ХИПС, тщательно дорабатываются правила, особенно по обращению с реестром, и слежение за изменениями в нём, а также за контрольными суммами - его дело, а мы отдыхаем.


А что такое ХИПС ?    Вы не могли бы пояснить ?

2. "Отдыхать" не получится.  Не существует в настоящее время программ, которые могли бы спрашивать:

"Вам загрузить этот драйвер, работающий в Kernel Mode ?
 - а вот этот загрузить ? ..."

Драйверы в режиме ядра загружаются раньше, чем программы которые будут это дело контролировать.

Посмотрите на верхнюю часть приведенного мною лога загрузки:


 Service Pack 2 1  5 2010 00:53:26.500
Loaded driver \WINDOWS\system32\ntkrnlpa.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver safemon.sys
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys

Видите драйвер safemon.sys ?

Это драйвер российского файерволла процессов System Safety Monitor. Сокращенно, их программа называется SSM-2

Я, путем изучения, в какой последовательности загружается Windows XP, добился что нужный мне драйвер вообще стал загружаться первым !  

Но толку то от этого !   Если бы сразу после этого он начал бы меня спрашивать

"Разрешить загрузить ACPI.sys ?" - тогда да !  Тогда был бы смысл.

Но сначала загружаются все драйверы режима ядра, и лишь во вторую очередь драйверы, библиотеки и программы User Mode

И любая из известных мне программ-контроллеров "что именно разрешать запускать" - начинает разрешать запрещать уже позже, чем загрузятся все драйверы режимя ядра.

Вообще-то еще раньше чем даже драйверы режима ядра, загружается  
экзешник "ntkrnlpa.exe" (или "ntoskrnl.exe") - у кого как, а почему два разных - я пока не знаю 

А еще раньше этого экзешника - при загрузке Windows XP SP2 загружается файлик "ntdetect.com"

У меня появился большой соблазн !   Использовать свой, модернизированный ntdetect.com, а на крайняк - свой модернизированный ntkrnlpa.exe.

И этот, самый первый исполняемый файл, работающий еще под DOS - заставить контролировать MD5-суммы файлов согласно собственному списку.

2.  Ребяты !  А кто нибудь сейчас-то контролирует MD5-суммы этих важных исполняемых файлов ?  Всех этих "ntdetect.com, "ntkrnlpa.exe" ?

Ведь вирус может туда подсунуть свой вариант файла !

Вы скажете, что "Виндоус проверяет подобные файлы по своей базе безопасности" ?   Однако насколько мне известно, есть программы, которые успешно подсовывают на это место свой исполняемый файл.

Например, если мне не изменяет память, известный пакет для работы с разделами жестких дисков "Partition Magic" - умеет это делать.

Значит, можно ?!!!   И ничего - "схавала" Виндоус этот подмененный файл !  И не ругнулась !  И ничего не заметила...

А раз это умеет делать "Partition Magic" - значит этому могут научиться и другие программисты.

Вот на этом раннем этапе, когда загружается самый первый исполняемый файл - ЕЩЕ ПОД DOS !

Вот на нем уже нужно контролировать MD5-суммы всех файлов, которые далее будут задействованы в автозагрузке Виндоус.

А теперь посмотрите, какой низкий уровень у большинства программистов, которые разрабатывают программы вирусной безопасности !   Они что - подобные места ковыряют ?

Нет. Они даже не знают, как на столь раннем этапе свой контроль в Виндоус "присобачить".

Эти программисты делают то, что они умеют делать - они пишут "функции" якобы для обнаружения чего-либо - в юзер мод 

Потом удивляются, что кто-то умеет обходить написанные ими программы безопасности.

----------


## Erekle

У меня просто нет времени - максимум через полчаса должен уехать и буду через 2 недели. ХИПС - система предотвращения вторжений, работающая со своим драйвером ядра. 



> "Отдыхать" не получится. Не существует в настоящее время программ, которые могли бы спрашивать:
> 
> "Вам загрузить этот драйвер, работающий в Kernel Mode ?
> - а вот этот загрузить ? ..."
> 
> Драйверы в режиме ядра загружаются раньше, чем программы которые будут это дело контролировать.


Да, не получится, как раз потому, что этот ХИПС постоянно спрашивает. Загружается-то до остальных программ, поэтому и надо ставить на чистой системе, где пока нет прокравшегося драйвера; а с последующими программами, будьте уверены, спросит: этот файл стартует, дозволить или нет, хочет создать файл где-то (места надо подкорректировать), хочет контролировать системный процесс или любой другой, хочет внедриться куда-то, хочет записать в реестре здесь и здесь (обязательно корректировать), хочет установить службу и т. д. Решение - за вами: доверять всегда, позволить всегда, или один раз (режим установки), или за сколько-то времени, не доверять и расстрелять на месте. Есть ХИПСы с базами вирусов вдобавок, есть полу- или автоматические, которые всех изначально заносят в чёрный список а делее по правилам - посмотрите здесь Defense Wall, лучшую в этой категории. Из тех, что задают вопросы.... Их, нормальных, может и до десяти. У меня - бесплатный Real-Time Defender. Мне нравится ещё Torchsoft Malware Defender, у него и менеджеры процессов, служб и других под рукой, но по-настоящему испытать не дошёл. Есть пара китайских, есть давно известные System Safety Monitor  и другие.

*Добавлено через 4 минуты*

Этот файерволл процессов System Safety Monitor и есть ХИПС. Что касается всяких НТДетект и т . д., то они, если при установке ХИПС были чистыми, то дальше должны оберегаться им от изменений со стороны вредоносных программ, и беспокоиться о них в таком случае не стоит.

----------


## antanta

> Я не очень понял насчёт другой системы. Если речь о одновременном лечении, достаточно редактирования "холодного" реестра. Если проверять перед- или при каждой загрузке с другого раздела на диске... Это как? И это опять сложно.
> 
> Но всё это моё личное соображение, которое может быть неправильным.


  Можно устроить загрузку вспомогательной микро-ОС, записанной в ПЗУ CMOS. Оттуда можно детектить изменения (только не всех ехе и длл  ), что накладно в смысле ресурсоемкости. 
  Не знаю, какова сутьба Linux-BIOS, но это около того. На многих ноутах уже встроена в CMOS (или еще куда-то, точно не знаю) миниось, умеющая ходить в инет. Почему бы ее не переучить?
 Вообще, топикстартер мыслит в верном направлении, но , имхо, предлагает много лишних движений.
 Что из запрошенного делал я? Делал снимок загружаемых драйверов, контрольных сумм их файлов. Без всякого шифрования (а зачем???). Снимок делается на заведомо чистой системе, а исследуется из-под PE (тоже, смею надеяться,чистого). 
 Ничего сложного. *uuu9950*, сядьте и напишите. Подозреваю, что Вам для этих целей подойдет скриптовый язык AVZ

----------


## uuu99950

Предложение "сядьте и напишите необходимый софт сами" - оно конечно, конструктивное  :Smiley: 

Но если бы я сейчас мог сесть и написать все что мне требуется, то я не спрашивал бы на форумах.

 Зачем шифровать - я написал выше. Затем что базу придется на винчестер класть. Хотя если базу на флэшку сохранять (загрузившись из под своего чистого загрузочного CD)
- то можно и не шифровать.

  Вопрос не в этом. Вопрос в том - а кто писать-то все это будет ?  Если "никто, пишите сами" - тогда смысл мне был обращаться на форумы программистов ?

  Задача простая - но у нас и уровень большинства программистов слабый. Большинтсво простых вещей не могут запрограммировать. Поэтому скорее уж, какая-нибудь фирма-производитель антивирусного ПО такое сделает.

----------


## antanta

*uuu99950*, ИМХО, облекая просьбу в такую форму, Вы везде получите такой "конструктивный" ответ. 
 Если серьезно 
   1) reg save HKLM\SYSTEM C:\blah-blah\SYSTEM1.bak  ; контрольная точка
   2) reg load  HKLM\SYSTEM1 %path%\SYSTEM1.bak ;  загружаем тут же
   3) Делаем снапшот раздела любой понравившейся утилитой
   4) Если нужно сделать сравнение, грузимся с PE, 
    reg load  HKLM\SYSTEM1 System32\config\SYSTEM (или через regedit - загрузить куст)
   5) Запускаем ту же утилиту, указываем ей путь к снапшоту, сравниваем.
   Возможны вариации.
 "Рыба есть. Ловить надо уметь" (с) ген. Иволгин

----------


## uuu99950

Я согласен с автором предыдущего поста, с antanta.

Действительно, рыбу - чтобы поймать, нужно уметь ловить.  Как говорится, против истины не попрешь.   :Smiley: 

  У меня не получилось проделать описанные antanta действия из под LiveCD.

  И так пробовал, и этак.   Сохранить из под LiveCD удается.  Но только какого именно реестра ?  :Smiley:  

  Мне нужно из под LiveCD сохранить реестр моего логичекого системного диска С.

У меня вопрос к antanta: А Вы сами это пробовали сделать ?  У Вас хоть раз в жизни получилось это сделать ?

  Потому что у меня не получается  :Sad:

----------


## pig

В случае Live CD у вас есть лежащий на диске незагруженный файл куста. Используя это знание, сведите к уже решённой задаче.

----------


## uuu99950

> В случае Live CD у вас есть лежащий на диске незагруженный файл куста. Используя это знание, сведите к уже решённой задаче.


Файл куста должен обязательно иметь расширение .reg ?
Чтобы загрузить куст из под LiveCD, я должен его сначала выгрузить (сохранить как .reg) из под обычной активной Windows, загруженной с диска С ?

  Мне нужно 1-й раз забирать из под LiveCD, и второй раз (более позднее состояние реестра) - тоже забирать из под того же LiveCD.  И эти два слепка реестра - сравнивать тоже из под LiveCD.

----------


## pig

Файл куста расширения не имеет. Посмотрите у себя в %Windir%\System32\config\

----------


## uuu99950

> Файл куста расширения не имеет. Посмотрите у себя в %Windir%\System32\config\


Ну, собственно, пришли к тому, с чего я и начинал.

Как я написал в своем начальном посте 6 января, что мне удалось найти пока единственную программу, которая умеет сравнивать реестры как исходные файлы реестра:  software - c другим software, system -  - c другим system.  См. первый пост про программу *Белогорохова Юрия Павлович*а, под названием RegShot (именно его модификация).

Она умеет делать сравнивать попарно как оригинальные файлы системного реестра из папки config (не все правда), так и изготовленные из этих оригинальных файлов слепки собственного формата.

Все остальные предложенные варианты остаются нерабочими.

 Чтобы загрузить файл куста (если имеется в виду исходный файл без расширения, лежащий в папке config:  system, software и три других) - то вы их в таком виде не импортируете. Для того чтобы их загрузить (импортировать) - их сперва нужно было в REG или HIVE файлы сохранить из под активной Windows.  Из под LiveCD вы не сможете экспортировать файл software с диска С, в формат REG.  А исходный файл, который без расширения, ни regedit, ни более древняя reg - не загрузит.   

Предложения делать слепки из-под активной системы - не годятся. Предложения что-то экспортировать/импортировать из под активной системы, как файлы reg, hive, hiv, html и др. - не годятся.

Почему - я уже писал.

  Во-первых, у вас не будет возможности сделать второй слепок (экспортитовать информацию о реестре в любом формате) из под активной системы. Когда вирус вам все заблокирует, и не будет давать вам ничего сделать на компе.

 Во-вторых, снятие информации о том, что прописано в автозагрузку, из под активной Windows - некорректно по определению.  Потому что в момент начала загрузки Windows состояние автозагрузки было, в общем случае, не таким.  Каким оно стало в момент снятия информации из под уже загрузившейся ОС.

В принципе, программа для изготовления слепков системного реестра из под своей ОС, и сравнения напрямую двух файлов system или software - найдена.

И хотя в логе сравнения - многовато ненужной информации, но к этому быстро привыкаешь, и визуально найти в логе то что интересует - вполне можно.

Вот пример такого html-лога.  Я прописал всего одно значение в параметр AppInit_DLLs, чтобы посмотреть, насколько легко окажется визуально найти это изменение в логе:

http://narod.ru/disk/16809444000/Report.2.html.html

 Если инсталлировать какую-нибудь программу, то конечно лог этой программы сразу разрастается на много страниц.

   Вот поставил на диск С кейлоггер. Увидите его ?   В html-отчете про изменения в системном реестре ?

http://narod.ru/disk/16809444000/Report.2.html.html

  В этом отчете есть закладка "Новые параметры", которая сильно помогает.

Сервис 11pmo 
был добавлен в ветвь реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Run]

стал автозагружаться новый экзешник: "c:\\program files\\klrphluvbzr\\gpqwu.exe gp"

То есть технология сравнения холодных (неактивных) файлов реестра - работает, если позаботиться о переодическом копировании файлов реестра, лежащих в папке config, пока еще у вас все работает.  Копировать файлы реестра - придется из под LiveCD или из под другого активного логического диска компьютера.

----------


## pig

> исходный файл, который без расширения, ни regedit, ни более древняя reg - не загрузит


Загрузит на раз. Выбрать HKEY_LOCAL_MACHINE, меню Реестр - Загрузить куст, выбираем нужный файл, даём подключу произвольное имя и наслаждаемся результатом. Без расширения - это именно родной HIVE формат.

----------

