• ベストアンサー

見えないレジストリキーの発見法

C:\WINDOWS\regedit.exe や C:\WINDOWS\system32\regedt32.exe を実行しても見えないレジストリキーってあるんですね? HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  や HKCU\Software\Microsoft\Windows\CurrentVersion\Run 等のスタートアップにその見えないキーがあったら不安で怪しいですよね? どうやったら隠れたレジストリを全て見えるようにできますか? http://download.sysinternals.com/Files/RegHide.zip のRegHideというツールが通常のレジストリエディタでは見えないキーの作成ができるそうですので。

質問者が選んだベストアンサー

  • ベストアンサー
  • wamos101
  • ベストアンサー率25% (221/852)
回答No.2

#1です。 こういうの見つけました。 http://www.kazamiya.net/blog

sas13456
質問者

お礼

これもありがとうございます。

その他の回答 (1)

  • wamos101
  • ベストアンサー率25% (221/852)
回答No.1

こんにちは。 私はクラッカーサイト巡りや対策ソフトの性能テストなどをしております。 まあ、お手軽なものとしては各種Rootkitスキャン系のものやExRegViewなど。肝はSSDT(System Service Description Table)じゃないですかね。ちなみに私はKernel Detectiveなるものを使うときがあります。Rootkitスキャン系ならMcAfee Rootkit DetectiveやJoanna RutkowskaさんのSystem Virginity Verifierなどがおすすめ。 ここ最近はMemory Forensicsが話題になってるみたいよ。

sas13456
質問者

お礼

ありがとございました。

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. スパイウェア

関連するQ&A

  • スタートアップではなくレジストリで自動実行

    スタートアップではなくレジストリで自動実行するには Regeditコマンドの後に HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runまで進み、新規に文字列値それで値を "C:\Program Files\App\file.exe" でいいんでしょうか? レジストリをいじるのが恐ろしくてビビッてるんですが これであってるでしょうか? これでミスって動かなくなるとかありますか?

  • スタートアップ項目の「場所」がどこにあるかを探しています。

    スタートアップ項目の「場所」がどこにあるかを探しています。 削除したいスタートアップ項目があり、 その場所は 「SOFTWARE\Microsoft\Windows\CurrentVersion\Run」 となっていました。 しかし、他のスタートアップ項目だと、 「HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」や 「HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」となっています。 探しても、目当ての「mshta http://www」(最近はやりのワンクリウェア?) が見つからないのですが、 やはりなにか見落としているのだと思います。 どなたか、場所の読み方のどこがおかしいのか教えていただけますでしょうか。

  • 自分でやった覚えのない変更がありました。

    初めて質問します。よろしくお願いします。 ウイルスバスター2007を使っているのですがソフトウェア警戒システムで見つかった変更のスタートアップ領域のなかにこんな変更がでました。  レジストリキー HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceobjectDelayLoad レジストリ名 WPDShServiceobj レジストリキー HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Run レジストリ名 OSD がコンピュータの起動時にプログラムが自動起動されるようなエントリーが、システムレジストリに設定されていますとあるのですが大丈夫なのでしょうか?それともスパイウェアの仕業なのでしょうか?  一応危険度は低ですが自分で設定した覚えもないので不安です。  

  • Nanakoという未知の拡張子発見

    CCleanerにてレジストリの問題点をスキャンしました。 <結果> 使われていない拡張子.Nanako HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.Nanako 見つからないMUI履歴C:\DOCUME~1\OKABEH~1\LOCALS~1\Temp\jre-6u7-windows-i586-p-iftw_bdb28397.exe    HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache なんですかねこれ…セキュリティーソフトや各種ソフトまたオンラインスキャンにもひっかかりませんしお手上げです。

  • インストール済みソフトウェアのパスを取得したいです

    インストールしているソフトウェアのインストールパスを取得したいです。 以下の方法を試しました。 取得できるものもありますが、値が空になっていて取得できないものもあります。 "InstallLocation"の値がないソフトのインストールパスを取得する方法はないでしょうか? ①以下レジストリの"InstallLocation"の値を参照 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall ②WMI「Win32_Product」の"InstallLocation"の値を参照

  • 以前の質問を見ても解決できないWORM_WINUR.C

    QNo.871519の「ウイルス?助けてください!!」 という質問と同じ状況になってしまいました。 (WORM_WINUR.Cでの被害です) 同じ状況なので、同じように C:\windows\winrun.exe C:\winnt\winrun.exe を手動にて削除と消去する。 regedit.exeで HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 「値:Windir = "C:\windows\winrun.exe」を削除 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 「値:Sysdir = "C:\winnt\winrun.exe"」を削除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 「値:winrun = "C:\windows\winrun.exe"」を削除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 「値:winur = "C:\winnt\winrun.exe"」を削除 という処理を行おうとしたのですが、肝心のファイルが レジストリエディタで開いても、隠しファイルも全て表示しても存在しません。 RUNのなかにあるのは、cffmon.exe と MsnMsgr というファイルしか見つかりません。 OSはXPなのですが、どうすればよいのでしょう? 教えてください。お願いします。

  • ImageItEncrypt.exeってなんですか?

    Acer-Asire5600,XP,ウイルスバスター2007を使用しています。バスターの不審ソフトウェア警戒システムで見つかった変更として、 スタートアップ領域-レジストリHKLM):ImageItEncryptとあるんですがこれはなんでしょうか? レジストリキー:HKLM\SOFTWARE\Microsot\Windows\CurrentVersion\Run レジストリ名:ImageItEncrypt プログラム:C\Windows\system32\ImageItEncrypt.exe 気になったので、Gooleで検索してみましたが、英語やフランス語?イタリヤ語?のページしか見つかりませんでした。ハッカーやトロイの木馬のページが多かったような気がしたので心配になり、質問させて頂きます。よろしくお願いします。

  • 指定されたレジストリキーまたは値が見つかりません

    富士通のXPパソコンを使ってます ウイルスに感染し富士通のFAX情報サービスで駆除方法の紙をもらいました 1. copy□c:\windows\system32\config\software□c:\windows\system32\config\software.daonol 1個のファイルをコピーしました。 2. reg□load□HKLM\infected□c:\windows\system32\config\software この操作を正しく終了しました。 3. reg□delete□"HKLM\infected\Microsoft\Windows□ NT\CurrentVersion\Drivers32"□/v□midi9□/f エラー:指定されたレジストリキーまたは値が見つかりませんでした 1と2はFAX通りの内容で進めるのですが、3だけは違います。本当なら「この操作を正しく終了しました」と表示されるそうです ネットで調べると「midi9を削除する」そうなのですがそれ以上分かりませんでした 現在もパソコンは起動するけど何も操作が出来ないままです。詳しい方からのアドバイスをお願いします

  • msconfigのスタートアップ項目に同じものが二つある

    《スタートアップ項目》qttask 《コマンド》"C:\Program Files\QuickTime\qttask.exe" -atboottime 《場所》HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run これが二つのあるのですがどうすれば消えるのでしょうか? またこれは二つ起動している状態なのでしょうか? そして何をしたときに出来てしまったのでしょうか? 分かる方いましたらお願いします!!

  • レジストリキーの削除

    「****movie.exe」というMacromedia Flash Player 7.0用のファイルをダウンロードしてある会社が作成した動画を見ました。 その後削除しようと思い、「ディスクX」の「アプリケーションの削除」でこのファイルを指定してみたら、レジストリのキーも2つ削除の候補に出てきました。こんなのです。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe 動画ファイルを配布している会社に動画ファイルの削除の仕方を聞くと、「****movie.exe」を削除するだけでよいという回答でした。 フラッシュプレーヤー用の動画ファイルはレジストリのキーに何も変更を加えていないのでしょうか。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する