<?xml version="1.0" encoding="UTF-8"?><rss xmlns:dc="http://purl.org/dc/elements/1.1/" xmlns:content="http://purl.org/rss/1.0/modules/content/" xmlns:atom="http://www.w3.org/2005/Atom" version="2.0"><channel><title><![CDATA[Firewall für Registry entwickeln]]></title><description><![CDATA[<p>Hallo, mir ist eben eine Idee eingefallen, ich möchte eine Art Firewall für die Registry erstellen, damit soll verhindert werden das in bestimmte Schlüssel Daten reingeschrieben werden wie z.B. in:</p>
<p><em>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</em></p>
<p>Das Programm müsste ganze Zeit im Hintergrund arbeiten, also als Service welcher das schreiben verhindert, hierfür würde doch eine normale Konsolenanwendung ausreichen oder?!?!</p>
<p>Mein Problem, wie soll verhindert werden das in ein Key reingeschrieben wird, soll das Programm bei Veränderungen handeln und wie oft soll das Programm prüfen ob was geändert wurde?</p>
<p>Ich bitte um Lösungsansätze <img
      src="https://www.c-plusplus.net/forum/plugins/nodebb-plugin-emoji/emoji/emoji-one/1f642.png?v=ab1pehoraso"
      class="not-responsive emoji emoji-emoji-one emoji--slightly_smiling_face"
      title=":)"
      alt="🙂"
    /></p>
]]></description><link>https://www.c-plusplus.net/forum/topic/184375/firewall-für-registry-entwickeln</link><generator>RSS for Node</generator><lastBuildDate>Sun, 05 Jul 2026 18:08:23 GMT</lastBuildDate><atom:link href="https://www.c-plusplus.net/forum/topic/184375.rss" rel="self" type="application/rss+xml"/><pubDate>Thu, 14 Jun 2007 16:55:48 GMT</pubDate><ttl>60</ttl><item><title><![CDATA[Reply to Firewall für Registry entwickeln on Thu, 14 Jun 2007 16:55:48 GMT]]></title><description><![CDATA[<p>Hallo, mir ist eben eine Idee eingefallen, ich möchte eine Art Firewall für die Registry erstellen, damit soll verhindert werden das in bestimmte Schlüssel Daten reingeschrieben werden wie z.B. in:</p>
<p><em>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</em></p>
<p>Das Programm müsste ganze Zeit im Hintergrund arbeiten, also als Service welcher das schreiben verhindert, hierfür würde doch eine normale Konsolenanwendung ausreichen oder?!?!</p>
<p>Mein Problem, wie soll verhindert werden das in ein Key reingeschrieben wird, soll das Programm bei Veränderungen handeln und wie oft soll das Programm prüfen ob was geändert wurde?</p>
<p>Ich bitte um Lösungsansätze <img
      src="https://www.c-plusplus.net/forum/plugins/nodebb-plugin-emoji/emoji/emoji-one/1f642.png?v=ab1pehoraso"
      class="not-responsive emoji emoji-emoji-one emoji--slightly_smiling_face"
      title=":)"
      alt="🙂"
    /></p>
]]></description><link>https://www.c-plusplus.net/forum/post/1305884</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1305884</guid><dc:creator><![CDATA[kernel64]]></dc:creator><pubDate>Thu, 14 Jun 2007 16:55:48 GMT</pubDate></item><item><title><![CDATA[Reply to Firewall für Registry entwickeln on Thu, 14 Jun 2007 17:14:31 GMT]]></title><description><![CDATA[<p>Dann ist es keine Firewall, denn die blockiert ja, sondern ein WatchDog Prozess.</p>
<p>Nach deinem Ansatz muss der Wachhund bei Schichtbeginn eine Datenbank der interessierenden Keys mit ihren Inhalten haben.</p>
<p>Mit periodischen Abgleich mit SHGetValue wird dann gebellt, wenn der Inhalt verändert wurde.</p>
<p>Kenn mich jetzt nicht wirklich damit aus, aber mein Bauch sagt mir, dass dies ein ziemlich schlechter Ansatz ist.</p>
]]></description><link>https://www.c-plusplus.net/forum/post/1305900</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1305900</guid><dc:creator><![CDATA[[[global:guest]]]]></dc:creator><pubDate>Thu, 14 Jun 2007 17:14:31 GMT</pubDate></item><item><title><![CDATA[Reply to Firewall für Registry entwickeln on Thu, 14 Jun 2007 20:26:46 GMT]]></title><description><![CDATA[<p>man kann doch bestimmt einen Hook setzen auf RegCreateKey oder wie die heißen usw.<br />
Dann guckst du, ob das iO ist, was gemacht wird, und wenn ja, dann leitest du das ans os weiter.</p>
]]></description><link>https://www.c-plusplus.net/forum/post/1306058</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1306058</guid><dc:creator><![CDATA[Maxi]]></dc:creator><pubDate>Thu, 14 Jun 2007 20:26:46 GMT</pubDate></item><item><title><![CDATA[Reply to Firewall für Registry entwickeln on Fri, 15 Jun 2007 14:46:33 GMT]]></title><description><![CDATA[<p>Also deinem Namen nach müsstest du doch einen (Kernel) Filtertreiber schreiben <img
      src="https://www.c-plusplus.net/forum/plugins/nodebb-plugin-emoji/emoji/emoji-one/1f609.png?v=ab1pehoraso"
      class="not-responsive emoji emoji-emoji-one emoji--winking_face"
      title=";)"
      alt="😉"
    /></p>
<p>Nee also im allgemeinen ist ein Filtertreiber natürlich die &quot;korrekteste&quot; Methode, falls du diese &quot;Firewall&quot; unbedingt im Userspace implementieren willst, kannst natürlich auch einen Service _oder_ eine Konsolenanwendung schreiben (Das ist ein Unterschied!)</p>
<p>Um dann zu &quot;merken&quot; wann ein Programm etwas in der Registry verändern will, müsstest du alle Programme hooken.<br />
Da gibt es auch wieder verschiedene Möglichkeiten:</p>
<p>Da wäre das Verändern des Import Table der Programmes (mir fällt der exakte Name dafür gerade nicht mehr ein), das ist aber relativ unsicher, da deine Firewall z.B. umgangen wird, wenn das Programm die Funktionen über LoadLibrary + GetProAddress holt.<br />
Zum anderen gibt es auch noch das Verändern des Export Table der Dll die die Funktionen exportiert. Nachteil ist das selbe Problem, wenn das Programm die Funktionen _bevor_ deine Firewall geladen wurde = die Dll gepatched hat.<br />
Die beste Lösung wäre wahrscheinlich das überschreiben der ersten 5 Bytes der betroffenen Funktionen in der Dll like z.B. &quot;detours&quot;.</p>
<p>Neuer AVs haben solche Ansätze übrigens auch schon implementiert...</p>
]]></description><link>https://www.c-plusplus.net/forum/post/1306637</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1306637</guid><dc:creator><![CDATA[yogle]]></dc:creator><pubDate>Fri, 15 Jun 2007 14:46:33 GMT</pubDate></item><item><title><![CDATA[Reply to Firewall für Registry entwickeln on Fri, 15 Jun 2007 16:04:20 GMT]]></title><description><![CDATA[<p><a href="http://wiki.hackerboard.de/index.php/Windows_API#API-Hooking" rel="nofollow">http://wiki.hackerboard.de/index.php/Windows_API#API-Hooking</a></p>
]]></description><link>https://www.c-plusplus.net/forum/post/1306708</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1306708</guid><dc:creator><![CDATA[dEUs]]></dc:creator><pubDate>Fri, 15 Jun 2007 16:04:20 GMT</pubDate></item><item><title><![CDATA[Reply to Firewall für Registry entwickeln on Sat, 16 Jun 2007 11:06:47 GMT]]></title><description><![CDATA[<p>Dieser Thread wurde von Moderator/in <a href="http://www.c-plusplus.net/forum/profile-var-mode-is-viewprofile-and-u-is-4180.html" rel="nofollow">Korbinian</a> aus dem Forum <a href="http://www.c-plusplus.net/forum/viewforum-var-f-is-11.html" rel="nofollow">Projekte</a> in das Forum <a href="http://www.c-plusplus.net/forum/viewforum-var-f-is-8.html" rel="nofollow">Rund um die Programmierung</a> verschoben.</p>
<p>Im Zweifelsfall bitte auch folgende Hinweise beachten:<br />
<a href="http://www.c-plusplus.net/forum/viewtopic-var-t-is-39405.html" rel="nofollow">C/C++ Forum :: FAQ - Sonstiges :: Wohin mit meiner Frage?</a></p>
<p><em>Dieses Posting wurde automatisch erzeugt.</em></p>
]]></description><link>https://www.c-plusplus.net/forum/post/1307122</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1307122</guid><dc:creator><![CDATA[C++ Forumbot]]></dc:creator><pubDate>Sat, 16 Jun 2007 11:06:47 GMT</pubDate></item><item><title><![CDATA[Reply to Firewall für Registry entwickeln on Sat, 16 Jun 2007 11:17:49 GMT]]></title><description><![CDATA[<p>Dieser Thread wurde von Moderator/in <a href="http://www.c-plusplus.net/forum/profile-var-mode-is-viewprofile-and-u-is-1819.html" rel="nofollow">rüdiger</a> aus dem Forum <a href="http://www.c-plusplus.net/forum/viewforum-var-f-is-8.html" rel="nofollow">Rund um die Programmierung</a> in das Forum <a href="http://www.c-plusplus.net/forum/viewforum-var-f-is-4.html" rel="nofollow">WinAPI</a> verschoben.</p>
<p>Im Zweifelsfall bitte auch folgende Hinweise beachten:<br />
<a href="http://www.c-plusplus.net/forum/viewtopic-var-t-is-39405.html" rel="nofollow">C/C++ Forum :: FAQ - Sonstiges :: Wohin mit meiner Frage?</a></p>
<p><em>Dieses Posting wurde automatisch erzeugt.</em></p>
]]></description><link>https://www.c-plusplus.net/forum/post/1307134</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1307134</guid><dc:creator><![CDATA[C++ Forumbot]]></dc:creator><pubDate>Sat, 16 Jun 2007 11:17:49 GMT</pubDate></item><item><title><![CDATA[Reply to Firewall für Registry entwickeln on Sat, 16 Jun 2007 14:40:41 GMT]]></title><description><![CDATA[<p>Vielleicht ist ja alles viel einfacher : <a href="http://msdn2.microsoft.com/en-us/library/ms724892.aspx" rel="nofollow">RegNotifyChangeKeyValue</a><br />
<img
      src="https://www.c-plusplus.net/forum/plugins/nodebb-plugin-emoji/emoji/emoji-one/1f642.png?v=ab1pehoraso"
      class="not-responsive emoji emoji-emoji-one emoji--slightly_smiling_face"
      title=":-)"
      alt="🙂"
    /></p>
]]></description><link>https://www.c-plusplus.net/forum/post/1307263</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1307263</guid><dc:creator><![CDATA[[[global:guest]]]]></dc:creator><pubDate>Sat, 16 Jun 2007 14:40:41 GMT</pubDate></item><item><title><![CDATA[Reply to Firewall für Registry entwickeln on Sat, 16 Jun 2007 18:17:42 GMT]]></title><description><![CDATA[<p>Im Programm muss doch ein Timer laufen, welcher in einem bestimmten Intervall mit der Funktion <strong>RegNotifyChangeKeyValue</strong> prüft ob was verändert wurde, das ist so mein Gedanke. Ist dieser Lösungsansatz in Ordnung?</p>
]]></description><link>https://www.c-plusplus.net/forum/post/1307388</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1307388</guid><dc:creator><![CDATA[kernel64]]></dc:creator><pubDate>Sat, 16 Jun 2007 18:17:42 GMT</pubDate></item><item><title><![CDATA[Reply to Firewall für Registry entwickeln on Sun, 17 Jun 2007 18:08:52 GMT]]></title><description><![CDATA[<p>kernel64 schrieb:</p>
<blockquote>
<p>damit soll verhindert werden das in bestimmte Schlüssel Daten reingeschrieben werden wie z.B. in:</p>
<p><em>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</em></p>
</blockquote>
<p>Wenn man sich etwas mit der Windows-Sicherheit und vorallem da etwas mit der Benutzerverwaltung beschäftigen würde, dann wüsste man, dass Microsoft schon entsprechende Vorkehrungen getroffen hat. Man muss sie nur anwenden. Dann brauch man sich keine Gedanken über solchen überflüssigne Programme zu machen.</p>
]]></description><link>https://www.c-plusplus.net/forum/post/1307926</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1307926</guid><dc:creator><![CDATA[[[global:former_user]]]]></dc:creator><pubDate>Sun, 17 Jun 2007 18:08:52 GMT</pubDate></item></channel></rss>