# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Редактор реестра для LiveCD.

## Andrey789

В свете борьбы с eKAV возникла потребность в редакторе реестра, которыйбы при загрузке с LiveCD типа WinXPE мог бы редактировать реестр windows, установленной на диск C. Если таковой имеется, может у кого есть опыт использования, расскажите, что и как. Возможно мой вопрос банален, но у меня такого опыта нет, при запуске regedit с LiveCD, он открывет реестр WinPE. Как подключить реестр установленной винды, какими средствами?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## uuu99950

Я тоже спрашивал тут про подобный инструмент  :Smiley: 

Но мне ответили в духе "Сядь и напиши небходимую программу сам"   :Smiley: 

 Даже не редактор реестра из под другой операционной системы нужен !

А еще нужнее программа, которая из под другой, незараженной ОС (из под LiveCD), анализировала бы системный реестр диска С.

 И все файлы, прописанные в автозагрузку в реестре диска С - копировала бы в одну вспомогательную папку.  За минусом файлов, опознаваемых AVZ как "безопасные".

  Для чего нужны файлы прописанные в автозагрузку диска С, собранные в одну кучку ?  - Очень просто...  Я сяду и буду их один за другим отправлять на он-лайн сервис проверки сразу 40 антивирусами

http://www.virustotal.com/ru/

 Когда мне служба virustotal покажет, какие файлы являются вирусами - то я загрузившись из под Live CD переименую у этих файлов расширение.

  В результате чего эти файлы станут не загружаемыми.  И я буду пробовать загрузить комп, вынув Live CD, в безопасном режиме.

 Если загружусь - а вирус пропал, то зайду в стандартный редактор реестра RegEdit, найду поиском по названию переименованных файлов, и удалю ссылки на эти файлы - и из реестра.

 Если не загружусь - то я подложу свои безобидные файлы, под теми именами и расширениями, которые были у вирусов  до их переименования.

  Возможно даже "прокатит" вариант подсовывания вместо вирусных файлов - файлов размером 0 байт.  Не пробовал пока так делать  :Smiley: 

  Казалось бы простой инструментарий ?  Однако его до сих пор нет ни у кого...

----------


## sirius

в LIVE CD от Alkid есть ERD Commander
да и сам диск с ERD Commander никто не отменял
легко находится погуглив
ERD Commander позволяет подключить реестр заражённой машины и творить чудеса

----------


## thetoken12

Есть еще вариант - PCRegedit.
Или вот этот.

----------


## uuu99950

О !  Сразу две обнадеживающих информации !  Спасибо  :Smiley: 

Буду пробовать названное
sirius и thetoken12 программное обеспечение !

----------


## antanta

> В свете борьбы с eKAV возникла потребность в редакторе реестра, которыйбы при загрузке с LiveCD типа WinXPE мог бы редактировать реестр windows, установленной на диск C. Если таковой имеется, может у кого есть опыт использования, расскажите, что и как. Возможно мой вопрос банален, но у меня такого опыта нет, при запуске regedit с LiveCD, он открывет реестр WinPE. Как подключить реестр установленной винды, какими средствами?


Есть. Называется regedit, как ни странно. Запускаем его, выделяем (как правило) HKEY_LOCAL_MACHINE, жмем меню"файл", "загрузить куст", указываем нужный куст. Далее (для краткости) отошлю к гуглю, а также к книге  Руссиновича со товарищи "Внутреннее устройство windows". 
 Кое-кому отписавшемуся *и* в этой теме также советую поизучать.
 Диссертации писать не будем тут. Надеюсь ответил именно на поставленный вопрос.
 PS. PЗайцева Олега многократно просили допилить AVZ для использования из PE. Отказ прозвучал бесповоротный. В связи с этим вопрос. Является ли секретным скрипт сбора информации о системе?
Если он вообще где-то существует в виде скрипта для AVZ, то нельзя ли его опубликовать именно в этом виде. Тогда желающие могли бы доработать напильником для использования под PE. Это для тех, у кого система вообще не грузится.
 Поверьте, не для себя прошу. 

*Добавлено через 26 минут*




> Я тоже спрашивал тут про подобный инструмент 
> Но мне ответили в духе "Сядь и напиши небходимую программу сам"


 Я убедился в правильности своего ответа, когда позже прочел, что Вы - бывший программист. 



> А еще нужнее программа, которая из под другой, незараженной ОС (из под LiveCD), анализировала бы системный реестр диска С.
>  И все файлы, прописанные в автозагрузку в реестре диска С - копировала бы в одну вспомогательную папку.  За минусом файлов, опознаваемых AVZ как "безопасные".


 В ПМ пишите. Договоримся 



> Когда мне служба virustotal покажет, какие файлы являются вирусами - то я загрузившись из под Live CD переименую у этих файлов расширение.


 Чтобы потом дольше искать? Не проще подставить префикс "ZZZ"? Они потом кучкуются в конце списка.



> В результате чего эти файлы станут не загружаемыми.  И я буду пробовать загрузить комп, вынув Live CD, в безопасном режиме.


 Если таковой работает.



> Если загружусь - а вирус пропал, то зайду в стандартный редактор реестра RegEdit, найду поиском по названию переименованных файлов, и удалю ссылки на эти файлы - и из реестра.


 Лучше уж из ПЕ. Иначе рискуем получить BSOD.



> Если не загружусь - то я подложу свои безобидные файлы, под теми именами и расширениями, которые были у вирусов  до их переименования.


 лучше не свои безобидные, а толково написанные утилиты подсунуть. Особенно, если ни explorer , ни cmd не грузятся.



> Возможно даже "прокатит" вариант подсовывания вместо вирусных файлов - файлов размером 0 байт.  Не пробовал пока так делать


 Ну, ага, по принципу "глюк глюком вышибают"?



> Казалось бы простой инструментарий ?  Однако его до сих пор нет ни у кого...


 Есть. Только слово "простой" уже настораживает. Когда клиент говорит "просто вирусов выгони", обычно это означает, что он не ценит труд и знания, и нормально платить не готов

----------


## uuu99950

Автор  предыдущего поста написал много...   Мне показалось, что Antanta
писал после пива  :Smiley: 

- Не-е, я понимаю !   :Smiley:    Я сам часто пишу на форумах после пива  :Smiley: 


*****************

Насчет вышепредложенных редакторов системного реестра  из под LiveCD.

Я скачал все три, и докладываю первые результаты их опробования:


1. PCRegedit - ISO-файл его занимает 60 Мегабайт.  LiveCD загружается, и предоставляет пользователю возможность редактирования системных реестров ВСЕХ логических дисков, созданных на винчестерах.

Интерфейс - упрощенный, похожий на стандартный RegEdit, однако намного менее удобный и красивый. Вдобавок к этому, изменяется чувствительность мыши, против стандартной.  Передвижение мыши на пару миллиметров - приводит к тому, что курсор мыши мгновенно улетает в конец экрана.

 Но главная претензия к PCRegedit - состоит в другом  :Sad: 

 Не случайно на своем сайте разработчик написал: главную проблему представляет корректное сохранение отредактированного реестра на жесткий диск, если логический диск отформатирован под файловую систему NTFS (то есть стандартную, самую распространенную в Windows).

  И не случайно разработчики об этом написали.  Сохранение отредактированного реестра PCRegedit-ом калечит MFT-структуру NTFS-диска.

  Я изменяю PCRegedit-ом одну букву в имени всего одного файла-библиотеки, в системном реестре Windows XP SP2, расположенной на логичческом диске E.

  И после сохранения, перезапускаю компьютер, вынув этот LiveCD.  

Один раз мне написало:  размеры содержимого всех ваших логических дисков = 0.
Настоятельно рекомендуется выполнить CHKDSK ко всем логическим дискам.

После того как прошерстила CHKDSK - стали снова доступны все логические диски, кроме того, на котором я редактировал системный реестр (диск Е).

При попытке загрузиться с Е - загрузка сломалась окончательно. 20-25 минут дважды я ждал, думал дождусь окончания загрузки с Е.  При этом все 20 минут происходит непрерывное обращение к диску, которое ничем не заканчивается.

  Не рекомендую никому использовать PCRegedit !  Будьте осторожны с этой прогой !
Она "завалит" вам ваш комп.  Они действительно не умеют из под Linux сохранять отредактированные файлы  (а их LiveCD работает из под операционной системы Linux)


*****************

Второй из предложенных редакторов:   "Offline NT Password & Registry Editor"
- имеет до смешного маленький размер: его ISO-файл занимает всего  3 мегабайта.

 Но работает все в режиме командной строки, с черно-белым экраном.  Как в 1990-м году, когда программировали на ассемблере под DOS.

  Вы должны будете вводить руками без единой ошибки - длинные конструкции типа полного названия ветки реестра - куда вы собираетесь перейти. И так далее.

  Запросто вы попадаете в такие режимы, из которых вы просто не знаете как выйти.  Ни Ctrl+C, ни quit, ни Alt+C, ни любые другие варианты выхода из этой проги - не срабатыват, если вы попали в определенную ветвь этой "программы".

  До сохранения отредактированных данных в такой "программе" - дело просто не дошло. Потому что вы попробуйте в ней сначала отредактировать что-нибудь...     Проверять, имеются-ли у этой программы глюки еще и про сохранении - я не стал.   Если и будут у такой программы фанаты - то их будет ну очень мало...

  Вывод - не пользуйтесь. Это каменный век.  


******************

ERD Commander.  

Я скачал с торрента-ру ISO-образ, который занимает почти весь CD: 

"ERD Commander 3 in 1".   Размер ISO-файла: 693 Мегабайта !

Зато и результаты - совершенно иные !   Это - программный продукт профессиональной программерской фирмы.  Интерфейс - красивый  :Smiley: 

Возможности (вместе с другими записанными на этот LiveCD программами - большие).
LiveCD этой фирмы прозволяет работать со всеми современными версиями Windows, а не только с XP.

  Эксперименты с этим ERD Commander (точнее с одной из четырех предлагаемых им ветвей: для Windows XP) - я пока не закончил.

  Но уже видно, что продукт этот - ВЕЩЬ !

Единственное что жалко, что он умеет редактировать из под LiveCD только системный реестр логического диска С.  А как из под него дотянуться до моего логического системного диска D, и такого же E - непонятно.

 Видимо буду копировать файлы системного реестра E на C, предварительно убрав "родные" файлы системного реестра диска C в другую папку.

 Советую всем скачать с torrent.ru этот образ диска, и нарезать себе болванку.
Как зарегистрируетесь на торренте - ищите поиском фразу
"ERD Commander 3 in 1"

----------


## sirius

*uuu99950*, 
я совсем мало напишу
3 в 1 это хорошо, ещё лучше 1 в 1
у меня командер 2005 года, 150 мб на болванке, работает с xp sp3
а 3 в 1 
-грузится гораздо дольше т.к нужно распаковать в память изошку нужного командера
преимущества 3 в 1 это возможность работать под любыми осями, но цена "долгая загрузка"
посему
держу 3 в 1 и 1 в 1 на болванках

----------


## antanta

*uuu99950*, Это я много пишу. Ага. 
 Что после пива - заметно. Лично я пишу *только* после пива и водки.
Offline NT Password & Registry Editor  - это Linux (может, слышали). Не стоит удивляться отсутствию GUI. Бритва Торвальдса. "Не приумножай гуёв без необходимости".
 Для тех, гого Весельчак УУУ может сбить с толку, замечу, что ERD при загрузке пытается обнаружить систему на всех дисках, с которыми может работать. Затем предлагает выбрать, к какой из "виндовзов" "подключиться". Вероятно, возможна ситуация, когда некоторые SATA диски ERD не увидит. Иногда и с этим можно бороться. Во всяком случае, никакой привязки с некоему диску Цэ я за ERDом не замечал. Чай, не чайник делал. А делал тот самый Руссинович (да не родственник он мне, не родственник), книги которого кое-кому следовало бы таки найти. Или с Фигурнова начать?

----------


## uuu99950

Я выше написал, что эксперимент с ERD Commander пока не закончил.

Вот теперь закончил  :Smiley:    Все работает, умеет редактировать из под LiveCD системные реестры экземпляров Windows, установленные на разных логических дисках.

 Просто ERD Commander может неправильно отображать буквы логических дисков, идущих выше чем С.

  У меня Акронисом разможена Windows, стоит на дисках C, D, E и G

 Оказалось, что ERD Commander в моем случае видит логический диск G - как E.
А Е отображает как G.

  Я подписал все четыре реестра изнутри, сохранив в реестрах фразу вида:

this_is_E

  Потом из под LiveCD находил эту фразу редактором реестра ERD Commander, и редактировал ее.  Потом снова смотрел из под систем, в какой реестр чего сохранилось.  Почему ERD Commander увидел в моем случае буквы дисков E и G, поменянные местами - не знаю.

  А так - все работает. Отличный софт.  Грузится 6 минут, но не проблема подождать.

----------


## PavelA

> Offline NT Password & Registry Editor  - это Linux (может, слышали). Не стоит удивляться отсутствию GUI. Бритва Торвальдса. "Не приумножай гуёв без необходимости".


+ 100 Хотя не люблю командную строку. Не тпотому что не умею с ней работать, а потому что чаще всего приходится лечить других. Объяснить им это все я не в силах.

----------


## pig

> Почему ERD Commander увидел в моем случае буквы дисков E и G


Потому что это отдельная винда, назначающая буквы как ей заблагорассудится, а не как вы в своих системах исторически закрепили (кстати, можете ведь и поменять в любой момент).

----------


## VV2006

Практически в каждой LiveCD-сборке есть возможность работы с удалённым реестром в WinPE через runscanner:


```
runscanner.exe /y /t 0 regedit.exe
```

В теме AVZ on LiveCD Олег Зайцев ничего не ответил, *antanta*, где 


> Отказ прозвучал бесповоротный.


?

----------


## antanta

*VV2006*, Где-то он приводил аргументы против. Не могу вспомнить - где именно. Можно считать длительное молчание тем самым ответом.
 Поскольку под PE никакого детекта по перехватам мы не получим, то мудрить много не нужно. Подгружаем реестр, пишем скрипт для AVZ, который преобразует пути к правильному виду , затем проверяет файлы по базе безопасных.
 Это - минималистский вариант, конечно. Сказано к тому, что все в наших руках. Если гора не идет к Магомету, Магомет идет к горе.

----------


## VV2006

*uuu99950*, 



> "ERD Commander 3 in 1". Размер ISO-файла: 693 Мегабайта !


В этом образе через GRUB4DOS меню могут загружаться образы:
ERD Commander 5.0 for Windows XP / Windows 2003
ERD Commander 6.0 for Windows Vista / Windows 2008
ERD Commander 6.5 for Windows 7 / Windows 2008 RC2

Удобно запускать с флешки отдельные образы, к примеру erd50.iso (для Windows XP) весит 197 MB. Время загрузки - не более 2 минут.

*antanta*, ну да, правильно, какие перехваты могут быть в неактивной (незапущенной) системе? А вот насчёт путей (AVZ "цепляет" и реестр системы из-под которой запущен, т.е. WinPE), как можно (и можно ли вообще?) автоматически правильно отфильтровать выводимую AVZ инфу без патчинга (ой!  :Smiley: ) AVZ?

----------


## antanta

*VV2006*, Я делал вкратце так: 
Гружусь с PE, подгружаю куст SYSTEM (например). Назначаю ему имя zSYSTEM. Написал утилитку, которая создает ключ в реестре, например SOFTWARE\Punksoft, подключами являются ключи, каждый из которых символизирует один из сервисов/драйверов .
 Для каждого определяется путь, откуда он грузится. Поскольку с путями все непросто, тут приходится помаятся. Тут тебе и переменные окружения, некоторые из которых WinPE сама (!) подставляет, и пользовательские переменные %PATH%.
 Кроме того, разбор параметров вида 



> %SystemRoot%\System32\svchost.exe -k netsvcs


 Это все дело техники. Получаем пути для проверки. Тоже с сервисными DLL.
 Кроме того, делается проверка на пермишны, еще кое-какие проверки. Создается текстовый файл со списком подключей Services (для дальнейшего сравнения с полученным в зараженной системе). 
 Если есть дамп реестра "больной" системы, то его можно подгрузить и сравнить с тем, что доступен из PE. Если руткит в процессе дампинга что-то подправил, мы увидим разницу.
 Потом запускаем скрипт, который обходит нашу ветку Punksoft, проверяет по базе безопасных то, что удалось найти по путям, результат записывается рядом.
 Затем уже утилита обходит ветку Punksoft, выводит результаты.
*Все это можно делать только скриптом*. Только выводить придется в файл. Можно замудрить вывод в HTML. Мне удобнее GUI. Да и вырубать сервисы можно тут же, не отходя от кассы.
 С файлом SOFTWARE немного заморочнее, поскольку там полезная инфа разбросана. Если бы выложили скрипт исследования системы, можно было бы поменять в нем SYSTEM на zSYSTEM , SOFTWARE на zSOFTWARE, дополнить процедурой, правящей пути.
 Ну, или каждый сам  :Smiley: 

 Странно, что до сих пор нет отдельной ветки по "программированию в среде AVZ"
Или я плохо смотрел?

----------


## VV2006

Universal Virus Sniffer v2.80 никто не пробовал? 



> uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в зараженном Windows так и для лечения неактивных и удаленных систем с коррекцией реестра.
> uVS НЕ является заменой антивируса, соотв. нужен он лишь в том случае если ваш любимый антивирус не может очистить систему от зловредов.
> uVS обладает рядом уникальных функций:
> Автоизвлечение сигнатур из указанных файлов (без активного участия пользователя), ведение пользовательской базы сигнатур вирусов, автоопределение файловых вирусов, работа с неактивными системами, работа с удаленными машинами без предварительной установки на них клиента, дефрагментация и восстановление реестра, обнаружение скрытого автозапуска, высокая скорость работы и мгновенная фильтрация представляемой информации об элементах автозапуска. В версии 2.60 добавлена возможность запуска на чистом изолированном рабочем столе для успешного уничтожения всевозможных рекламно-вымогательных окон.

----------


## allkaa

Фирма Winternals (Mark Russinovich and Bryce Cogswell) до того как их купила Microsoft создала пакет утилит Administrator Pack в составе которого есть и генератор ERD Commander 2005. При генерации ERD Commander 2005 есть точка остановки где можно подключать в состав сгенерированного ISO образа свои библиотеки с утилитами. Я добавляю директорию с CureIt, Hijack и AVZ. CureIt и Hijack идут как песня. AVZ работает, но есть проблема с фонтами - не видны имена скриптов, названмя библиотек - (если многоуважаемый автор прочитает данный пост, может он и исправит эту мелочь).

----------


## VV2006

*allkaa*, одно из отличий ERD Commander'а от WinPE, BartPE, XPE: выбор удалённой системы производится при старте ERD-системы. В приниципе, возможно исправить проблему с недостающими шрифтами, добавив их в эту систему.
Конструкторы PE-систем на Руборде свободны от многих ограничений ERD и позволяют запускать инструменты ERD в качестве отдельного плагина. Проблем с фонтами в AVZ в них нет.

P.S. Кстати, попробовал uVS, загрузившись с нано-PE-сборки (размером 28 MB, грузится с флешки 15 секунд). Первые впечатления - очень неплохо, много интересных опций, жаль под рукой сейчас нет заражённых машин.  :Smiley:

----------


## santy

> Фирма Winternals (Mark Russinovich and Bryce Cogswell) до того как их купила Microsoft создала пакет утилит Administrator Pack в составе которого есть и генератор ERD Commander 2005. При генерации ERD Commander 2005 есть точка остановки где можно подключать в состав сгенерированного ISO образа свои библиотеки с утилитами. Я добавляю директорию с CureIt, Hijack и AVZ. CureIt и Hijack идут как песня. AVZ работает, но есть проблема с фонтами - не видны имена скриптов, названмя библиотек - (если многоуважаемый автор прочитает данный пост, может он и исправит эту мелочь).


Работают ли добавленные пользователем программы: АВЗ, hj (другие) c выбранной при старте ERD операционной системой, т.е. с ее реестром? Или они видят только реестр текущей загрузочной системы?

----------


## sirius

*VV2006*, 
аналогично щас игрался с uVS работает
забросил тупо на WinPE
C диска конечно не работает, наверно надо как то настройки делать чтобы в темп куда то шло
вообщем это не суть важно
скопировал на виртуальный стол
проверил на 4 вирусах

iMax Download Manager
Download Master
розовый
красный

вычищает и разлочивает машинку
АВ могут работать
одно автор не учёл
не вычищает куки, а там сидит userlib впрочем он не активный, но удалятся просто так не желает
вердикт - утиль достойна жизни и держать её на загрузочной флешке или в крайняк просто папкой на WinPe *необходимо*
свяжусь с автором, напишу свои пожелания

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## VV2006

*sirius*, о, приятные вести, спасибо!
Чтобы не озадачиваться временной распаковкой  uVS в %temp% можно собирать PE с плагином File-Based Write Filter (FBWF) - писать можно будет и на RO-носитель. А вообще утиль практически портэйблная, никаких библиотек даже из безбожно урезанной нано-PE-сборки не потребовала, можно закинуть на любой перезаписываемый носитель.
Насчёт флешки советую использовать fbinst - форматирует флешку создавая невидимую из Windows область (ud), в которую можно поместить GRUB4DOS с кучей вариантов загрузки из образов. Повышается не только безопасность (из винды видится как неразмеченная область - для вирусов и шаловливых ручек недосягаем), но и возможность загрузки на разных матерях.

----------


## sirius

*VV2006*, 
получил ответ от автора
по сути



> > 1-вы не учли, что некоторые локеры оставляют dll в Cookie,зачистка
> > темпов отлично, добавте плиз ещё и зачистку этой папки
> Добавлю, в принципе я могу сделать и лучше, просто убивать оттуда лишь исполняемые файлы (конечно по формату) а не по расширению. Заодно можно и каталог с печеньками добавить в типичные для малварей пути
> 
> > если с диска то ругается на отсутствие файлов, хотя они есть в папке
> Да, все верно uvs необходим полный доступ в каталог запуска и это уже
> никак не исправить, слишком многие функции завязаны на этом.
> 
> > нужно как то реализовать временное хранение в виртуальном Temp или в Ram WinPe
> ...

----------


## allkaa

После загрузки с модифицированного ERD Commander'а 2005 все утилиты - CureIt, HijackThis, AVZ к сожалению работают с реестром ERD Commander'а 2005.

----------


## Rampant

> Или они видят только реестр текущей загрузочной системы?


всё верно, только рамдиск.

----------


## Дмитрий Дмитриев

Господа, подскажите пожалуйста нубу!

Вот загрузился я с ливсд, в который уже был интегрирован ERD Commander, выбрал редактор реестра. Открылся Regedit, я выделил пункт меню HKEY_LOCAL_MACHINE и импортировал файл, который добавлял поддержку всех контроллеров IDE/SATA для устранения ошибки 7B при загрузке старой винды на новой матери (может, кто слышал - гуляет архив по инету StopBlueScreen.rar; помогал мне уже дважды. Приложу его в аттаче)

Перезагрузился и получил ошибку белыми буквами на чёрном фоне - отсутствует файл C:\Windows\System32\hal.dll, проверьте правильность и т.д.

В чём моя ошибка заключалась? И как мне нужно было поступить чтоб сработало всё корректно?

----------

