Site icon Emsisoft | Sicherheitsblog

Mythos Registry

Versucht man das Innerste seines aus dem Hause Microsoft stammenden Betriebssystems zu verstehen, oder hört Computerfachleute über jene softwarenseitigen Eingeweide reden, so wird man früher oder später über den Begriff „Registry“ stolpern. Die meisten Benutzer wissen, dass wildes Editieren in der Registry leicht zu Fehlfunktionen von Windows oder sogar zu einer notwendigen Neuinstallation führen kann. Doch was ist das eigentlich, diese Registry?

Grundsätzlich ist die Registry der Ort, an dem wichtige Systemvariablen und Einstellungen des Betriebssystems gespeichert werden. Eingeführt wurde sie mit Windows 95, um die noch aus DOS Zeiten vorhandenen Systemdateien zu ersetzen und in ein besseres und moderneres Format zu konvertieren. Vielleicht erinnert sich der ein oder andere noch an wohlklingende Systemdateinamen wie Config.sys, Autoexec.bat, System.ini oder die allseits beliebte Win.ini. Damals konnte man anhand der Dateiendung noch erkennen, welchen ungefähren Zweck die Datei erfüllt: *.sys waren Systemdateien, *.ini Initialisierungsdateien und speziell die Autoexec.bat eine Batch Datei, die relevante Programme und andere Funktionen beim Systemstart aufrief. Eines vereint all diese Dateitypen und setzt sie mit der heutigen Registry gleich – sie übergeben relevante Hardware- und Softwareparameter für die Benutzung des Betriebssystems.

Wer nun Lust verspürt, einen Blick in die Registry des höchst eigenen Betriebssystems zu werfen, kann dies mit dem Befehl „regedit“ (bei Windows 2000 und XP auch „regedt32“) über Start + Ausführen tun. Aber bitte beachten Sie – Änderungen „frei Schnauze“ und ohne genau zu wissen was man tut, können die Systemstabilität gefährden oder sogar eine komplette Neuinstallation erforderlich machen. Nach dem Öffnen der Registry offenbaren sich in der Regel zunächst fünf etwas kryptisch anmutende so genannte Schlüssel, die mit „HKEY“ (Engl. „Key“ = Schlüssel) beginnen. Jene Grundschlüssel werden wir nun im Folgenden genauer Erläutern.

HKEY_CLASSES_ROOT entspricht der Datei „classes.dat“ und verweist auf den Unterschlüssel HKEY_LOCAL_MACHINE\Software\Classes. Hier werden Anwendungen und ihre Dateizugehörigkeiten gespeichert, also zum Beispiel, mit welchem Programm eine Datei nach Doppelklick auf diese geöffnet werden soll. Dieser Hauptschlüssel ist eigentlich nur aus Kompatibilitätsgründen vorhanden, aus guten alten Zeiten. Deshalb sollten Änderungen nur unter HKEY_LOCAL_MACHINE\Software\Classes vorgenommen werden.

HKEY_CURRENT_USER stellt im Grunde genommen die „win.ini“ von früher dar. Sie enthält individuelle Benutzereinstellungen des aktuell gerade angemeldeten Users, also Dinge wie z.B. den Bildschirmhintergrund und weitere Grundeinstellungen des eigenen Accounts. Diese Informationen werden auch ganz einfach „Profil“ des Benutzers genannt.

Den Schlüssel HKEY_LOCAL_MACHINE kennen erfahrene und vielleicht auch etwas ältere PC Anwender ursprünglich als system.ini. Im Gegensatz zu den im vorigen Absatz erklärten Profileinstellungen ist dieser Key für alle Benutzer des Computers gleich, da hier alle spezifischen Hardware- und Software-Einstellungen gespeichert werden. Die hier eingetragene Hardware lässt sich auch bequem und vor allem weniger kryptisch im Gerätemanager von Windows auslesen.

In HKEY_USERS werden alle benutzerdefinierten Einstellungen des aktuell am PC arbeitenden Users gespeichert. Von Haus aus gibt es immer auch ein bereits angelegtes Standardprofil mit dem dazu passenden Namen „default“. Werden auf einem System mehrere Benutzer angelegt (z.B. „Christian“, „Andreas“ und „Susi“) so werden diese jeweils unter Windows/Profiles/Username gespeichert. Im Zuge der Entwicklung von Windows und damit auch der Registry erscheint im Gegensatz zu Windows 95/98/ME der Name des Benutzers nicht mehr im Klartext, sondern bei Windows 2000/XP jeweils unter seiner Security ID („SID-Nummer“), die aus dem Buchstaben S und einer Zahlenkombination besteht.

HKEY_CURRENT_CONFIG ist ein Verweis  auf den Unterschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Hardware Profiles\Current (Software/System) für Windows 2000/XP bzw. HKEY_LOCAL_MACHINE\Config für Win 95/98/ME. Dieser Schlüssel beinhaltet Einstellungen der angeschlossenen Peripheriegeräte – also Drucker, Scanner, Festplatte, etc und entspricht damit der bekannten Systemsteuerung.

Da vielleicht noch Benutzer von Windows 95/98/ME unter uns weilen, die sich nun eventuell wundern, dass sie sechs statt der genannten fünf Schlüssel auffinden, erwähnen wir auch noch das Relikt HKEY_DYN_DATA. Er stellt Informationen für Plug & Play-Geräte zur Verfügung, die im Arbeitsspeicher abgelegt werden und deren Status sich immer wieder verändert. Bei Windows 2000/2003/XP gibt es diesen Schlüssel nicht mehr.

Nun wissen wir ein wenig mehr über Windows und seine Schlüssel, können damit jedoch, was das Bearbeiten angeht, relativ wenig anfangen. Der Grund dafür ist simpel – jeder Schlüssel verfügt über weitere Unterschlüssel, so dass es schon extrem vieler Erklärung bedarf, all die exakten Speicherorte und –arten zu erläutern. Auch sehr erfahrene Benutzer arbeiten eher selten in der Registry, höchstens einmal um über den Schlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run (Sie sehen schon – Arbeiten in der Registry ist nicht unbedingt übersichtlich und komfortabel) unerwünschte Einträge im Autostart des Computers zu entfernen; denn egal ob sichtbar oder nicht, jene stehen zumindest zum Teil dort drin. Ja, Sie haben richtig gelesen, nur zum Teil: es gibt etliche Eintragsmöglichkeiten in der Registry, die das automatische Starten von Software ermöglichen. Das hat natürlich Vor- und Nachteile.

Zum einen sind die verschiedenen Möglichkeiten auch für versierte Anwender einfach unübersichtlich und schwer zu merken. Richtiges Editieren ist daher eigentlich nur mit Hilfe von Softwaretools möglich, worauf wir ein wenig später noch einmal eingehen werden. Ansonsten ist die Registry natürlich auch für diverse Malwarearten aufgrund ihrer Wichtigkeit für Windows sehr interessant. Dabei findet nicht nur die noch recht simple Idee, Schädlinge einfach per „verstecktem Autostart“ direkt beim Hochfahren des Systems laden zu lassen, Anwendung. Ein beliebtes Angriffsziel in der Registry stellen z.B. die installierten Browser (insbesondere der Internet Explorer) dar. So kann Malware über Browser Erweiterungsmodule (Addons), die normalerweise als DLL Datei vorliegen, systemweit gestartet werden. Besonders diverse Spyware oder Adware Programme nutzen eine solche oder ähnliche Methodik. Vielleicht hat der ein oder andere Leser dieses Artikels sich schon einmal gewundert, wieso beim Starten seines Browsers immer ein und dieselbe lästige Werbeseite aufgerufen wird – hier fand dann mit ziemlicher Sicherheit ein Angriff auf den Browser über die Registry statt, mittels einem so genannten „Browser Hijacker“.

Ein nicht durch Malware verursachtes, aber dennoch großes Problem eines Computers oder genauer gesagt eines Betriebssystems ist, dass im Laufe der Zeit immer wieder Programme installiert und deinstalliert, geupdated oder auch gelöscht werden. Viele für den Anwender normale Arbeitsschritte hinterlassen allerdings Spuren auf dem Computer und natürlich auch in der Registry. Genauso wie deinstallierte Programme teilweise einen leeren Ordner auf der Festplatte hinterlassen, verbleiben oft Fragmente oder nicht mehr notwendige Teile in der Registry. Dies ist einer der wesentlichen Gründe, weshalb ein System im Laufe der Zeit immer langsamer und behäbiger wird, bis man dann schließlich als entnervter Anwender zur Neuinstallation greifen muss. Dies und auch die Unbequemlichkeit des Editierens in der Registry hat dazu geführt, dass es inzwischen eine ganze Menge Tools gibt, mit denen man jene komfortabler bearbeiten oder auch reinigen kann.

Zu solchen Bearbeitungstools gehört übrigens auch das auf www.hijackfree.de kostenfrei erhältliche Emsisoft HiJackFree. Als Benutzer von Emsisoft Anti-Malware haben Sie HiJackFree bereits auf dem Computer, zu finden im Hauptmenü von Anti-Malware. Es ist als kostenlose Zugabe im Emsisoft Anti-Malware Paket integriert. HiJackFree zeigt wesentliche Funktionen und Variablen des Betriebssystems sehr viel übersichtlicher und komfortabler an, als es über Registry Schlüssel mit den Bordwerkzeugen von Windows möglich ist. So können zum Beispiel alle laufenden Prozesse und Dienste angezeigt werden, und – sehr praktisch – auch noch so tief in der Registry verborgene Autostart Einträge bequem per Checkbox deaktiviert werden. Sollte man dann später doch eine Funktion des Computers vermissen, so lässt sich der Eintrag per HiJackFree auch leicht wieder aktivieren, eine Absicherung, die viele andere Tools leider nicht bieten.

Wir wünschen einen guten (Malware-freien) Tag!

Exit mobile version