Zitat von
Metal_Snake2:
Erstmal danke für die das Antworten!
Also ich glaub ich habe mich nicht genau genug ausgedrückt, deswegen hast du mich @Olli eventuell falsch verstanden.
Ich möchte keine Keys Laden, Speichern, Importieren oder Exportieren.
Es klang so, als wölltest du wissen, wieso reg.exe etwas sehen kann, was einige andere Programme nicht sehen. Das Backup-Privileg ermöglicht exakt das.
Zitat von
Metal_Snake2:
Mich wundert nun folgendes: Autorun, msconfig oder gar registrie Editoren welche auf dei Native
API (NtQueryKey und co) aufsetzen
finden diesen Eintrag nicht! Wie schaft es das dieses kleinen prog "reg.exe" (ist meistens in System Verzeichnis)
über den Komandozeilenbefehl "Reg
Query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run " trotzdem diesen versteckten Schlüssel Wert zu finden. Was natürlich sein könnte ist das es der Keylogger einfach nicht schaft seine
DLL in den Adressraum von Reg.exe zu injezieren da es nur ein Komandozeilenbasierendes prog ist (ohne
gui). Oder verwender reg.exe einpaar Tricks?
Wie startest du denn reg.exe? Von der Kommandozeile aus? Wenn ja, versuche mal folgendes. Schreibe ein kleines Programm und starte von dem aus via ShellExecute, ShellExecuteEx und WinExec jeweils einmal reg.exe und schau dir die Ausgabe an. Ein Verdacht wäre, daß der Keylogger nicht alle entsprechenden APIs hookt oder gar nur den Hook auf ShellExecute(Ex) registriert hat.
Zitat von
Metal_Snake2:
Edit: Ich hab gerad mir ProcMon nachgeschaut und es werden wirklich nicht die
Dll in reg.exe injeziert.
Hmm und das ist jetzt wohl der vorteil von Reg.exe das es keine
GUI...also Fenster hat?
Das wiederum könnte darauf hinweisen, daß das Hooking über Fensterhooks initialisiert wird. Daß also Fensterhooks die Methode sind um anfangs in den Adreßraum des Prozesses zu kommen in dem manipuliert werden soll.