---

Jeg har brug for at undersøge en XP installation, som med
tiden er begyndt at opføre sig mere og mere mærkeligt. Vi
har en mistanke om, at der måske er kommet noget malware
på maskinen i forbindelse med download af spil fra nettet.

Der har været problemer med menuer, der forsvandt, vinduer
der spontant blev minimeret, og en IE hvor indtastningsfelter
holdt op med at virke. Da jeg endeligt så maskinen var
problemerne så omfattende, at den ikke mere kunne boote.

Det første jeg gjorde var at kopiere hele harddisken til en
fil til yderligere undersøgelse, og for at rede nogle filer
ud (primært word dokumenter). Dernæst blev maskinen genskabt
fra en backup og sikret efter alle kunstens regler.

Nu har jeg brug for lidt forslag til, hvad jeg skal kigge
efter i det image jeg har lavet. Det eneste jeg lige ved
første øjekast har bemærket er en 672MB pagefile.sys. Men
jeg ved faktisk slet ikke, hvad man skal kigge efter på
sådan et XP system.

--
Kasper Dupont

---

Kasper Dupont <kasperd@daimi.au.dk> writes:
>Nu har jeg brug for lidt forslag til, hvad jeg skal kigge
>efter i det image jeg har lavet. Det eneste jeg lige ved
>første øjekast har bemærket er en 672MB pagefile.sys. Men
>jeg ved faktisk slet ikke, hvad man skal kigge efter på
>sådan et XP system.

pagefile.sys er bare swap.

Der er vel tre interessante ting at se efter:

1. Checksum på diverse executables.

2. Startup-folderen for de mest simple ting.

3. En masse interessante steder i registry'et.

Sidstnævnte er lidt besværligt at se efter, når skidtet ikke
kan boote, og der ikke findes en behøring backup. Men det er
dér (især i de forskellige RUN-entries), meget kan findes.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> writes:
> >Nu har jeg brug for lidt forslag til, hvad jeg skal kigge
> >efter i det image jeg har lavet. Det eneste jeg lige ved
> >første øjekast har bemærket er en 672MB pagefile.sys. Men
> >jeg ved faktisk slet ikke, hvad man skal kigge efter på
> >sådan et XP system.
>
> pagefile.sys er bare swap.

Det ved jeg, det var mest størrelsen, som
undrede mig. Ændres størrelsen ikke alt efter
forbrug?

>
> Der er vel tre interessante ting at se efter:
>
> 1. Checksum på diverse executables.

Hvor finder jeg de korrekte checksummer?

>
> 2. Startup-folderen for de mest simple ting.

De eneste startup foldere jeg kan finde, er dem
i Microsoft Office. Er det der du har tænkt dig,
at jeg skal kigge?

>
> 3. En masse interessante steder i registry'et.

Jeg kender ikke formatet af de filer. Ved du
hvor jeg kan finde en beskrivelse?

--
Kasper Dupont

---

Kasper Dupont <kasperd@daimi.au.dk> writes:
>> pagefile.sys er bare swap.
>
>Det ved jeg, det var mest størrelsen, som
>undrede mig. Ændres størrelsen ikke alt efter
>forbrug?

Jo, men filer på over en gigabyte er ganske normale.

>> 1. Checksum på diverse executables.
>
>Hvor finder jeg de korrekte checksummer?

Det nemmeste er vel at lave dem selv fra en kendt installation
med samme opdateringer.

>> 2. Startup-folderen for de mest simple ting.
>
>De eneste startup foldere jeg kan finde, er dem
>i Microsoft Office. Er det der du har tænkt dig,
>at jeg skal kigge?

C:\Documents and Settings\(bruger)\Start Menu\Programs\Startup

.....og for (bruger) = All Users

>> 3. En masse interessante steder i registry'et.
>
>Jeg kender ikke formatet af de filer. Ved du
>hvor jeg kan finde en beskrivelse?

Det er proprietært. REGEDIT kan eksportere en læsbar udgave, men
igen - det kræver, at man har sørget for en backup, så man kan
boote maskinen og lave den eksport.

Mvh.
   Klaus.

---

Klaus Ellegaard skrev:

>>Kasper Dupont writes:
>>> 1. Checksum på diverse executables.
>> Hvor finder jeg de korrekte checksummer?

> Det nemmeste er vel at lave dem selv fra en kendt installation
> med samme opdateringer.

Microsoft har lavet et værktøj til at lave checksums af programmer:

http://support.microsoft.com/default.aspx?scid=kb;en-us;841290

> REGEDIT kan eksportere en læsbar udgave, men igen - det kræver, at
> man har sørget for en backup, så man kan boote maskinen og lave den
> eksport.

Brugerindstillingerne kan for det meste findes i
C:\Documents and Settings\brugernavn\NTUSER.DAT.

Der er intet til hinder for at importere ntuser.dat på en kørende in-
stallation (regedit | marker f.eks. HKEY_USERS | Filer | Indlæs hive).

Det er godt at huske at fjerne hiven når man er færdig med at
pille-rode-rage.

Diverse Run-nøgler i registreringsdatabasen:

http://support.microsoft.com/kb/179365/EN-US/

Diverse andre metoder man kan autoafvikle programmer fra:

http://www.silentrunners.org/sr_launchpoints.html

Hvis maskinen var kørende, kunne man nemmere undersøge den med f.eks.
Sysinternals Autoruns:

http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

Diverse andre værktøjer til at undersøge en suspekt maskine:

http://www.tucofs.com/tucofs/tucofs.asp?mode=mainmenu

---

On Wed, 16 Mar 2005 13:38:05 +0100, Kasper Dupont wrote:

>> 3. En masse interessante steder i registry'et.
>
> Jeg kender ikke formatet af de filer. Ved du
> hvor jeg kan finde en beskrivelse?

Du kan finde en offline registry editor her:

http://home.eunet.no/~pnordahl/ntpasswd/editor.html

Den er dog lavet til det formål at resette administrator passwordet, så jeg
ved ikke lige hvor brugervenlig den er.

--
Morten Isaksen
http://www.aub.dk/~misak/