Discussion :

[dvechamb]

Bonjour
Etant donné qu'un virus est capable de cacher une chaine de regedit ;
est ce qu'il existe un code qui permet de savoir toutes les chaines d'une clef y compris celles cachés?
je connais déja les fonctions pour avoir les chaines d'une clef mais je ne sais pas si ca va donner aussi les chaines cachées.

[Melem]

En fait il n'existe pas de clé cachée, seulement certaines clés ne peuvent pas être affichées dans regedit. Utilise plutôt reg qui fonctionne en ligne de commandes (reg /? pour obtenir l'aide) et qui est un peu plus puissant que regedit. Si tu veux accéder à ces chaînes cachées avec l'API Windows, il faudra utiliser les fonctions non documentées de ntdll.dll (NtCreateKey et co.) et non de advapi32.dll (RegCreateKeyEx et co.). Plusieurs raisons peuvent empêcher regedit d'afficher une chaîne : elle contient plus de 255 caractères, le nom de la chaîne commence par '\0' (ce qu'on ne peut faire qu'avec les fonctions de ntdll.dll) et peut-être aussi d'autres raisons.

[sevyc64]

Il existe le même phénomène pour les noms de dossier et fichiers dans une structure NTFS

Il existe un petit logiciel qui s'appelle RootKitRevealer de SysInternals (devenu Microsoft depuis) qui scanne aussi bien le registre que les disques et qui te révèle justement ce genre de chose.

ATTENTION, toutes les entrées cachées (ou non affichable ) ne sont pas forcément malignes, Windows en contient lui-même déjà pas mal.

[dvechamb]

ok et est ce que quelqu'un sait si je crée une chaine caché de plus de 256 caractères avec les fonctions ntcreatekey... est ce que je vais la voir avec mes fonctions Regcreatekey,... de advapi.dll si je fais la liste des chaine ds une clef?

[Melem]

Non, tu ne les verras pas. C'est aussi pourquoi regedit ne peut pas les voir, parce qu'il utilise les fonctions d'advapi32.dll alors que reg peut, parce qu'il utilise les fonctions de ntdll.dll.

est ce que quelqu'un sait si je crée une chaine caché de plus de 256 caractères avec les fonctions NtCreateKey (....)

Pas la peine d'appeler NtCreateKey pour ça. T'as qu'à créer une MyKey contenant une sous-clé MySubKey et renommer MyKey de façon à ce que la chaîne " (...)\MyKey\MySubKey" fasse plus de 255 cacartères. Tu peux aussi jouer à ça avec les dossiers, sauf que les dossiers/fichiers lointains ne deviendront pas invisibles mais inaccessibles et que la longueur limite n'est pas de 255 mais de 260 caractères.

[Merillym]

Bonjour,

On peut "cacher" certaines données de valeurs dans le registre avec les API win32, mais uniquement pour les valeurs. Elles ne seront pas visible par Reg.exe ou regedit.exe. Mais bon, suffit de lire la donnée octect par octect pour tout afficher, donc rien d'exceptionnel. Par contre, pour cacher des clés entières, il faut avoir recours aux API natives.

Je suis en train de coder ma propre version de reg.exe avec l'api win32 et je me suis rendu compte que pour aller plus loin, je vais devoir m'initier aux api natives, mais pas tout de suite, vu que je suis débutant en C.

[Melem]

On peut "cacher" certaines données de valeurs dans le registre avec les API win32, mais uniquement pour les valeurs. Elles ne seront pas visible par Reg.exe ou regedit.exe.

Avec quelles fonctions ?

[ram-0000]

Un petit truc que j'avais repéré et diffusé dans les news :
Conséquences d'une incohérence subtile de spécification

Cela explique comment il est possible de cacher certaines clés/valeurs à regedit.

Enfin c'est du niveau de "comment cacher un secret à ma petite soeur"

[Melem]

J'ai lu tout l'article. C'est à peu près de ça qu'on a parlé depuis le début. Cependant, Merillym affirme qu'il connaît aussi des méthodes permettant de créer des valeurs "cachées" à l'aide de "fonctions Win32" (et là j'avoue que j'interprète ça en "fonctions Win32 documentées" puisqu'on a déjà parlé des fonctions non documentées) d'où ma question.

[Jipété]

Par contre, pour cacher des clés entières, il faut avoir recours aux API natives.

Cachées ? Non, plutôt inaccessibles à cause du caractère NULL dans le nom de la clé et du coup, en mode graphique avec Regedit on gagne un joli message d'erreur (me rappelle plus lequel).
Du coup elles signalent leur emplacement !

J'avais trouvé des sources Delphi qui démontrent ça très bien, hélas j'ai plus trop le temps de m'occuper de tout ça...