レジストリのキーが非表示なる不具合

Windows 2000/XP のレジストリエディタで、長いキー名が表示されない不具合が発見されました。

　Windows 2000/XPのレジストリ エディタに長い名前のキーが表示されない不具合(窓の杜)

　Windowsのレジストリに問題発覚--悪質なソフトウェアが検知不可能に(CNET Japan)


これを利用すれば、悪質なキーをレジストリエディタ上で確認出来ないように出来ます。確認出来なくなるだけで、存在はします。一番恐いのが、レジストリに記述されているスタートアップ項目が見えなくなる事です。スパイウェアを見えないように記述すれば確認してもわからなくなります。



ちょっと試してみました。

１：サブキーは 256文字 以上になると見えなくなる。サブキーの種類は関係なし。

２：１のサブキーを登録後、同じキーに所属する正常な名称のサブキーを登録しても見えない。

３：１のサブキーを登録後、同じキーに所属する正常なサブキーを別名に変更すると見えなくなる。

４：但し、見えないだけで存在する。

５：キーはルートキー名（HKEY_LOCAL_MACHINE や HKEY_CURRENT_USER等）を除いて 256文字 以上のキー名を登録すると、256文字 以上のキーが見えなくなる。

６：５のキー名よりも辞書順で後ろになるキー名が表示されなくなる。

７：レジストリエディタでエクスポートを実行した場合、１はエクスポートされないが、５はエクスポートとされる。



２・３・６が、驚きました。他の正常なキーまで見えなくなるとは、です。７は、スタートアップのレジストリをエクスポートして確認も出来ないという事が実証されました。

５は、例えば、スタートアップのキー「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」の場合、SOFTWARE以降の文字列の合計ですので、45文字になります。


この不具合は、現在(05/08/27)、パッチが出ておりません。
データが消えるなどの直接の被害はありませんが、こういう偽装方法が存在するという事を技術屋さんは知っておいた方が良さそうな内容ですよね。


【参考】
レジストリエディタの起動方法
スタートメニューの「ファイル名を指定して実行」で、「regedit」を入力して実行。レジストリエディタは非常に重要なデータのため、少々の変更でWindowsが起動しなくなる可能性まで秘めています。自信が無い人は起動さえもしない事をお勧めします。

レジストリのスタートアップキー (XP)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Comments

すいません、見苦しい体裁で・・・
長い文字列は１行に書こうとするため、IE上では見た目がおかしくなります。(Firefoxではしょっちゅうですけど)
記事のヘッダーが画像なので、レイアウト的に記事の横幅を広げれないんですよね。
ぅぅん・・・このレイアウトが好きなので続けたかったんですけど、記事も横幅が狭いですし、変えちゃおうかな？？

Posted by 藍旋 at 2005年08月27日 16:10

藍旋は、大きいスパイウェアなど驚きました
ネットで無いファイルを発見しなかった？

Posted by BlogPetのトロ at 2005年08月28日 18:36

ttp://isc.sans.org/diary.php?date=2005-08-25
ここに全リストがのってます。

Posted by jpnpatch2005 at 2005年08月29日 18:36

jpnpatch2005さん、こんばんわ〜♪
情報、ありがとうございます〜！

Posted by 藍旋 at 2005年08月29日 21:52

TBありがとうございます。

普通にレジストリエディタ使っていても、キーが長いことなんてないから普通わからないですよね。
単純なことですが、発見したセキュリティベンダーもすごいものです。

Posted by まる at 2005年08月31日 15:56

昔、私がレジストリを使った個人ツールを作った時に、テストのために作ったすごい長いキーが消えた事がありました。その時に思ったのは・・・「あ、プログラムミス？」で、自分のせいにしちゃったんですよね(*ノﾉ)
もしかしたら、あれは作れていたのかな・・・って、今更ながら思っちゃいました。普通、自分のミスって思っちゃいますよね〜？

Posted by 藍旋 at 2005年09月01日 13:25