https://wiki.mkcs.at/wikide/index.php?action=history&feed=atom&title=Bearbeiten_der_Registry_%C3%BCber_Knoppix_und_chntpwBearbeiten der Registry über Knoppix und chntpw - Versionsgeschichte2026-05-03T21:01:27ZVersionsgeschichte dieser Seite in MK Wiki DEMediaWiki 1.39.12https://wiki.mkcs.at/wikide/index.php?title=Bearbeiten_der_Registry_%C3%BCber_Knoppix_und_chntpw&diff=480&oldid=prevMkWikiDeSysOp: 6 Versionen importiert: Import von michigreat.a.wiki-site.com2018-06-19T18:48:05Z<p>6 Versionen importiert: Import von michigreat.a.wiki-site.com</p>
<p><b>Neue Seite</b></p><div>Mit dem Programm [http://home.eunet.no/pnordahl/ntpasswd/ chntpw] ('''Ch'''ange '''NT''' '''P'''ass'''w'''ord) lässt sich die [http://de.wikipedia.org/wiki/Windows-Registrierungsdatenbank Registrierungsdatenbank] (engl. Registry) von Windows bearbeiten und damit auch die Kennwörter der lokalen Benutzer.<br />
<br />
== Laden der Registry in Knoppix ==<br />
<br />
Zuerst muss auf jeden Fall die Partition eingebunden werden, die das Windows enthält, dessen Registry bearbeitet werden soll. Unter Knoppix klickt man dazu ganz einfach auf das entsprechende Icon am Desktop. Danach klickt man mit der rechten Maustaste auf dieses Icon und wählt "Lese/Schreibmodus ändern" und bestätigt die drauffolgende Sicherheitsabfrage. Somit kann Knoppix auf die Partition schreiben und Änderungen durchführen.<br />
<br />
== Entfernen von Programmen aus den Run-Schlüsseln ==<br />
<br />
Dies ist beispielsweise nach einem Befall von Schadsoftware nötig. In Windows gibt es zwei Run-Schlüssel:<br />
<br />
* Jener, der alle Programme enthält, die beim Starten von Windows ausgeführt werden: Er befindet sich in der Registry im Hive HKEY_LOCAL_MACHINE und dort im Unterschlüssel SOFTWARE\Microsoft\Windows\CurrentVersion\Run<br />
* Jener, der alle Programme enthält, die ausgeführt werden, wenn sich ein bestimmter Benutzer anmeldet: Er befindet sich im benutzerbezogenen Teil der Registry im Unterschlüssel SOFTWARE\Microsoft\Windows\CurrentVersion\Run<br />
<br />
Im Registrierungseditor von Windows (regedit) sieht das ganze so aus:<br />
<br />
[[Bild:Reg user.PNG]]<br />
[[Bild:Reg pc.PNG]]<br />
<br />
Das Programm chntpw arbeitet über die Konsole. Man klickt also im Iconbereich von KDE auf das Icon für die Konsole um diese zu starten.<br />
<br />
Um nun den benutzerbezogenen Teil der Registry zu bearbeiten, gibt man Folgendes ein:<br />
<br />
knoppix@Knoppix:~$ cd /media/hda1/WINDOWS/system32/config/<br />
<br />
knoppix@Knoppix:/media/hda1/WINDOWS/system32/config$ chntpw software -e<br />
<br />
chntpw version 0.99.3 040818, (c) Petter N Hagen<br />
openHive(software) failed: Read-only file system, trying read-only<br />
Hive's name (from header): <emRoot\System32\Config\SOFTWARE><br />
ROOT KEY at offset: 0x001020 * Subkey indexing type is: 686c <lh><br />
Page at 0xd17000 is not 'hbin', assuming file contains garbage at end<br />
File size 13893632 [d40000] bytes, containing 3257 pages (+ 1 headerpage)<br />
Used for data: 268626/13592664 blocks/bytes, unused: 1961/24712 blocks/bytes.<br />
Simple registry editor. ? for help.<br />
<br />
[1020] > cd Microsoft<br />
<br />
[847798] \Microsoft> cd Windows<br />
<br />
[93a608] \Microsoft\Windows> cd CurrentVersion<br />
<br />
[93a660] \Microsoft\Windows\CurrentVersion> cd Run<br />
<br />
[9682c8] \Microsoft\Windows\CurrentVersion\Run> ls<br />
ls of node at offset 0x9682cc<br />
Node has 0 subkeys and 2 values<br />
offs size type value name [value if type DWORD]<br />
[93c9f4] 104 REG_SZ <VMware Tools><br />
[ab022c] 104 REG_SZ <VMware User Process><br />
<br />
[9682c8] \Microsoft\Windows\CurrentVersion\Run> cat VMware Tools<br />
Value <VMware Tools> of type REG_SZ, data length 104 [0x68]<br />
C:\Program Files\VMware\VMware Tools\VMwareTray.exe<br />
<br />
Um den computerbezogenen Teil zu bearbeiten, gibt man Folgendes ein:<br />
<br />
knoppix@Knoppix:/media/hda1/WINDOWS/system32/config$ cd ../../../Documents\ and\ Settings/Administrator/<br />
knoppix@Knoppix:/media/hda1/Documents and Settings/Administrator$ ls<br />
Application Data Favorites NetHood ntuser.ini SendTo Templates<br />
Cookies Local Settings NTUSER.DAT PrintHood Start Menu UserData<br />
Desktop My Documents ntuser.dat.LOG Recent Sti_Trace.log<br />
knoppix@Knoppix:/media/hda1/Documents and Settings/Administrator$ chntpw NTUSER.DAT -e<br />
chntpw version 0.99.3 040818, (c) Petter N Hagen<br />
openHive(NTUSER.DAT) failed: Read-only file system, trying read-only<br />
Hive's name (from header): <ttings\Administrator\ntuser.dat><br />
ROOT KEY at offset: 0x001020 * Subkey indexing type is: 666c <lf><br />
Page at 0xf9000 is not 'hbin', assuming file contains garbage at end<br />
File size 1048576 [100000] bytes, containing 171 pages (+ 1 headerpage)<br />
Used for data: 14285/931072 blocks/bytes, unused: 817/79264 blocks/bytes.<br />
Simple registry editor. ? for help.<br />
<br />
[1020] > cd Software<br />
<br />
[13940] \Software> cd Microsoft<br />
<br />
[13bd8] \Software\Microsoft> cd Windows<br />
<br />
[28888] \Software\Microsoft\Windows> cd CurrentVersion<br />
<br />
[288e0] \Software\Microsoft\Windows\CurrentVersion> cd Run<br />
<br />
[2b378] (...)\Microsoft\Windows\CurrentVersion\Run> ls<br />
ls of node at offset 0x2b37c<br />
Node has 0 subkeys and 1 values<br />
offs size type value name [value if type DWORD]<br />
[ 2b3d4] 62 REG_SZ <CTFMON.EXE><br />
<br />
[2b378] (...)\Microsoft\Windows\CurrentVersion\Run> cat CTFMON.EXE<br />
Value <CTFMON.EXE> of type REG_SZ, data length 62 [0x3e]<br />
C:\WINDOWS\system32\ctfmon.exe<br />
<br />
[[Kategorie:Linux]]<br />
[[Kategorie:Windows]]</div>MkWikiDeSysOp