Changeset 1648

Show
Ignore:
Timestamp:
07/01/08 15:12:30 (5 months ago)
Author:
kindlund
Message:

Some of the registry exl entries did not have their process name extension (.exe) properly escaped.

Files:

Legend:

Unmodified
Added
Removed
Modified
Copied
Moved

  • honeyclient/trunk/thirdparty/capture-mod/RegistryMonitor.exl

    r1647 r1648  
    1414+   SetValueKey .*  HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Installer\\UserData\\.+ 
    1515+   SetValueKey .*  HKLM\\SOFTWARE\\Microsoft\\Cryptography\\RNG\\Seed.* 
    16 +   SetValueKey C:\\WINDOWS\\explorer.exe HKCU\\SessionInformation\\.+ 
    17 +   SetValueKey C:\\WINDOWS\\explorer.exe HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\.+ 
    18 +   SetValueKey C:\\WINDOWS\\explorer.exe HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\.+ 
    19 +   SetValueKey C:\\WINDOWS\\explorer.exe HKU\\.+\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\.+ 
    20 +   SetValueKey C:\\WINDOWS\\system32\\winlogon.exe   HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Group Policy\\State\\.+ 
    21 +   SetValueKey C:\\WINDOWS\\system32\\svchost.exe    \\REGISTRY\\USER\\.+ 
    22 +   SetValueKey C:\\WINDOWS\\system32\\svchost.exe    HKU\\.+ 
     16+   SetValueKey C:\\WINDOWS\\explorer\.exe    HKCU\\SessionInformation\\.+ 
     17+   SetValueKey C:\\WINDOWS\\explorer\.exe    HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\.+ 
     18+   SetValueKey C:\\WINDOWS\\explorer\.exe    HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\.+ 
     19+   SetValueKey C:\\WINDOWS\\explorer\.exe    HKU\\.+\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\.+ 
     20+   SetValueKey C:\\WINDOWS\\system32\\winlogon\.exe  HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Group Policy\\State\\.+ 
     21+   SetValueKey C:\\WINDOWS\\system32\\svchost\.exe   \\REGISTRY\\USER\\.+ 
     22+   SetValueKey C:\\WINDOWS\\system32\\svchost\.exe   HKU\\.+ 
    2323+   SetValueKey C:\\WINDOWS\\system32\\WgaTray\.exe HKCU\\SOFTWARE\\Microsoft\\SystemCertificates\\.+ 
    24 +   SetValueKey C:\\WINDOWS\\system32\\svchost.exe    HKCU\\Software\\Microsoft\\SystemCertificates\\Root\\.+ 
    25 +   SetValueKey C:\\WINDOWS\\system32\\svchost.exe    HKLM\\SOFTWARE\\Microsoft\\SystemCertificates\\AuthRoot\\.+ 
    26 +   SetValueKey C:\\WINDOWS\\system32\\svchost.exe    HKLM\\SOFTWARE\\Microsoft\\PCHealth\\.+ 
    27 +   SetValueKey C:\\WINDOWS\\system32\\svchost.exe    HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\.+ 
    28 +   SetValueKey C:\\WINDOWS\\system32\\svchost.exe    HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\.+ 
    29 +   SetValueKey C:\\WINDOWS\\system32\\svchost.exe    HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\.+ 
    30 +   SetValueKey C:\\WINDOWS\\system32\\svchost.exe    HKLM\\SYSTEM\\ControlSet001\\.+ 
    31 +   SetValueKey C:\\WINDOWS\\system32\\services.exe   HKLM\\SYSTEM\\ControlSet001\\.+ 
    32 +   SetValueKey C:\\WINDOWS\\system32\\lsass.exe  HKLM\\SECURITY\\.+ 
    33 +   SetValueKey C:\\WINDOWS\\system32\\lsass.exe  HKCU\\Software\\Microsoft\\Protected Storage System Provider\\.+ 
    34 +   SetValueKey C:\\WINDOWS\\system32\\wbem\\wmiadap.exe  HKLM\\SOFTWARE\\Microsoft\\WBEM\\.+ 
    35 +   SetValueKey C:\\WINDOWS\\system32\\wbem\\wmiadap.exe  HKLM\\SYSTEM\\ControlSet001\\Services\\WmiApRpl\\Performance\\.+ 
    36 +   SetValueKey C:\\WINDOWS\\system32\\wbem\\wmiadap.exe  HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Perflib\\.+ 
    37 +   SetValueKey C:\\WINDOWS\\system32\\wbem\\wmiprvse.exe HKLM\\SOFTWARE\\Microsoft\\WBEM\\WDM\\.+ 
     24+   SetValueKey C:\\WINDOWS\\system32\\svchost\.exe   HKCU\\Software\\Microsoft\\SystemCertificates\\Root\\.+ 
     25+   SetValueKey C:\\WINDOWS\\system32\\svchost\.exe   HKLM\\SOFTWARE\\Microsoft\\SystemCertificates\\AuthRoot\\.+ 
     26+   SetValueKey C:\\WINDOWS\\system32\\svchost\.exe   HKLM\\SOFTWARE\\Microsoft\\PCHealth\\.+ 
     27+   SetValueKey C:\\WINDOWS\\system32\\svchost\.exe   HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\.+ 
     28+   SetValueKey C:\\WINDOWS\\system32\\svchost\.exe   HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\.+ 
     29+   SetValueKey C:\\WINDOWS\\system32\\svchost\.exe   HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\.+ 
     30+   SetValueKey C:\\WINDOWS\\system32\\svchost\.exe   HKLM\\SYSTEM\\ControlSet001\\.+ 
     31+   SetValueKey C:\\WINDOWS\\system32\\services\.exe  HKLM\\SYSTEM\\ControlSet001\\.+ 
     32+   SetValueKey C:\\WINDOWS\\system32\\lsass\.exe HKLM\\SECURITY\\.+ 
     33+   SetValueKey C:\\WINDOWS\\system32\\lsass\.exe HKCU\\Software\\Microsoft\\Protected Storage System Provider\\.+ 
     34+   SetValueKey C:\\WINDOWS\\system32\\wbem\\wmiadap\.exe HKLM\\SOFTWARE\\Microsoft\\WBEM\\.+ 
     35+   SetValueKey C:\\WINDOWS\\system32\\wbem\\wmiadap\.exe HKLM\\SYSTEM\\ControlSet001\\Services\\WmiApRpl\\Performance\\.+ 
     36+   SetValueKey C:\\WINDOWS\\system32\\wbem\\wmiadap\.exe HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Perflib\\.+ 
     37+   SetValueKey C:\\WINDOWS\\system32\\wbem\\wmiprvse\.exe    HKLM\\SOFTWARE\\Microsoft\\WBEM\\WDM\\.+ 
    3838+   DeleteValueKey  .*  HKU\\.+\\SessionInformation\\ProgramCount 
    3939+   DeleteValueKey  .*  HKCU\\Software\\Microsoft\\Windows\\ShellNoRoam.* 
    4040+   DeleteValueKey  .*  HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Installer\\UserData\\.+ 
    4141+   DeleteValueKey  .*  HKLM\\SOFTWARE\\Microsoft\\Cryptography\\RNG\\Seed.* 
    42 +   DeleteValueKey  C:\\WINDOWS\\explorer.exe HKCU\\SessionInformation\\.+ 
    43 +   DeleteValueKey  C:\\WINDOWS\\explorer.exe HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\.+ 
    44 +   DeleteValueKey  C:\\WINDOWS\\explorer.exe HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\.+ 
    45 +   DeleteValueKey  C:\\WINDOWS\\explorer.exe HKU\\.+\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\.+ 
    46 +   DeleteValueKey  C:\\WINDOWS\\system32\\winlogon.exe   HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Group Policy\\State\\.+ 
    47 +   DeleteValueKey  C:\\WINDOWS\\system32\\svchost.exe    \\REGISTRY\\USER\\.+ 
    48 +   DeleteValueKey  C:\\WINDOWS\\system32\\svchost.exe    HKU\\.+ 
     42+   DeleteValueKey  C:\\WINDOWS\\explorer\.exe    HKCU\\SessionInformation\\.+ 
     43+   DeleteValueKey  C:\\WINDOWS\\explorer\.exe    HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\.+ 
     44+   DeleteValueKey  C:\\WINDOWS\\explorer\.exe    HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\.+ 
     45+   DeleteValueKey  C:\\WINDOWS\\explorer\.exe    HKU\\.+\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\.+ 
     46+   DeleteValueKey  C:\\WINDOWS\\system32\\winlogon\.exe  HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Group Policy\\State\\.+ 
     47+   DeleteValueKey  C:\\WINDOWS\\system32\\svchost\.exe   \\REGISTRY\\USER\\.+ 
     48+   DeleteValueKey  C:\\WINDOWS\\system32\\svchost\.exe   HKU\\.+ 
    4949+   DeleteValueKey  C:\\WINDOWS\\system32\\WgaTray\.exe HKCU\\SOFTWARE\\Microsoft\\SystemCertificates\\.+ 
    50 +   DeleteValueKey  C:\\WINDOWS\\system32\\svchost.exe    HKCU\\Software\\Microsoft\\SystemCertificates\\Root\\.+ 
    51 +   DeleteValueKey  C:\\WINDOWS\\system32\\svchost.exe    HKLM\\SOFTWARE\\Microsoft\\SystemCertificates\\AuthRoot\\.+ 
    52 +   DeleteValueKey  C:\\WINDOWS\\system32\\svchost.exe    HKLM\\SOFTWARE\\Microsoft\\PCHealth\\.+ 
    53 +   DeleteValueKey  C:\\WINDOWS\\system32\\svchost.exe    HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\.+ 
    54 +   DeleteValueKey  C:\\WINDOWS\\system32\\svchost.exe    HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\.+ 
    55 +   DeleteValueKey  C:\\WINDOWS\\system32\\svchost.exe    HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\.+ 
    56 +   DeleteValueKey  C:\\WINDOWS\\system32\\svchost.exe    HKCU\\Software\\Microsoft\\SystemCertificates\\Root\\.+ 
    57 +   DeleteValueKey  C:\\WINDOWS\\system32\\svchost.exe    HKLM\\SYSTEM\\ControlSet001\\.+ 
    58 +   DeleteValueKey  C:\\WINDOWS\\system32\\services.exe   HKLM\\SYSTEM\\ControlSet001\\.+ 
    59 +   DeleteValueKey  C:\\WINDOWS\\system32\\lsass.exe  HKLM\\SECURITY\\.+ 
    60 +   DeleteValueKey  C:\\WINDOWS\\system32\\lsass.exe  HKCU\\Software\\Microsoft\\Protected Storage System Provider\\.+ 
    61 +   DeleteValueKey  C:\\WINDOWS\\system32\\wbem\\wmiadap.exe  HKLM\\SOFTWARE\\Microsoft\\WBEM\\.+ 
    62 +   DeleteValueKey  C:\\WINDOWS\\system32\\wbem\\wmiadap.exe  HKLM\\SYSTEM\\ControlSet001\\Services\\WmiApRpl\\Performance\\.+ 
    63 +   DeleteValueKey  C:\\WINDOWS\\system32\\wbem\\wmiadap.exe  HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Perflib\\.+ 
    64 +   DeleteValueKey  C:\\WINDOWS\\system32\\wbem\\wmiprvse.exe HKLM\\SOFTWARE\\Microsoft\\WBEM\\WDM\\.+ 
     50+   DeleteValueKey  C:\\WINDOWS\\system32\\svchost\.exe   HKCU\\Software\\Microsoft\\SystemCertificates\\Root\\.+ 
     51+   DeleteValueKey  C:\\WINDOWS\\system32\\svchost\.exe   HKLM\\SOFTWARE\\Microsoft\\SystemCertificates\\AuthRoot\\.+ 
     52+   DeleteValueKey  C:\\WINDOWS\\system32\\svchost\.exe   HKLM\\SOFTWARE\\Microsoft\\PCHealth\\.+ 
     53+   DeleteValueKey  C:\\WINDOWS\\system32\\svchost\.exe   HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\.+ 
     54+   DeleteValueKey  C:\\WINDOWS\\system32\\svchost\.exe   HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\.+ 
     55+   DeleteValueKey  C:\\WINDOWS\\system32\\svchost\.exe   HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\.+ 
     56+   DeleteValueKey  C:\\WINDOWS\\system32\\svchost\.exe   HKCU\\Software\\Microsoft\\SystemCertificates\\Root\\.+ 
     57+   DeleteValueKey  C:\\WINDOWS\\system32\\svchost\.exe   HKLM\\SYSTEM\\ControlSet001\\.+ 
     58+   DeleteValueKey  C:\\WINDOWS\\system32\\services\.exe  HKLM\\SYSTEM\\ControlSet001\\.+ 
     59+   DeleteValueKey  C:\\WINDOWS\\system32\\lsass\.exe HKLM\\SECURITY\\.+ 
     60+   DeleteValueKey  C:\\WINDOWS\\system32\\lsass\.exe HKCU\\Software\\Microsoft\\Protected Storage System Provider\\.+ 
     61+   DeleteValueKey  C:\\WINDOWS\\system32\\wbem\\wmiadap\.exe HKLM\\SOFTWARE\\Microsoft\\WBEM\\.+ 
     62+   DeleteValueKey  C:\\WINDOWS\\system32\\wbem\\wmiadap\.exe HKLM\\SYSTEM\\ControlSet001\\Services\\WmiApRpl\\Performance\\.+ 
     63+   DeleteValueKey  C:\\WINDOWS\\system32\\wbem\\wmiadap\.exe HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Perflib\\.+ 
     64+   DeleteValueKey  C:\\WINDOWS\\system32\\wbem\\wmiprvse\.exe    HKLM\\SOFTWARE\\Microsoft\\WBEM\\WDM\\.+ 
    6565#defrag 
    66 +   SetValueKey C:\\WINDOWS\\system32\\dfrgntfs.exe   HKLM\\SOFTWARE\\Microsoft\\Dfrg.* 
    67 +   DeleteValueKey  C:\\WINDOWS\\system32\\dfrgntfs.exe   HKLM\\SOFTWARE\\Microsoft\\Dfrg.* 
     66+   SetValueKey C:\\WINDOWS\\system32\\dfrgntfs\.exe  HKLM\\SOFTWARE\\Microsoft\\Dfrg.* 
     67+   DeleteValueKey  C:\\WINDOWS\\system32\\dfrgntfs\.exe  HKLM\\SOFTWARE\\Microsoft\\Dfrg.* 
    6868#windows update 
    69 +   SetValueKey C:\\WINDOWS\\system32\\wuauclt.exe    HKLM\\SYSTEM\\ControlSet001\\Services\\Eventlog\\Application\\ESENT\\.+ 
    70 +   DeleteValueKey  C:\\WINDOWS\\system32\\wuauclt.exe    HKLM\\SYSTEM\\ControlSet001\\Services\\Eventlog\\Application\\ESENT\\.+ 
     69+   SetValueKey C:\\WINDOWS\\system32\\wuauclt\.exe   HKLM\\SYSTEM\\ControlSet001\\Services\\Eventlog\\Application\\ESENT\\.+ 
     70+   DeleteValueKey  C:\\WINDOWS\\system32\\wuauclt\.exe   HKLM\\SYSTEM\\ControlSet001\\Services\\Eventlog\\Application\\ESENT\\.+ 
    7171################################################### 
    7272### Internet Explorer 6.0 SP2           ###