xDSL.at

[michaelw]

Ich muss in WinXP mit Admin Rechten bei einem Programm herausfinden wo es die Benutzer-Einstellungen speichert.

Habe bereits erfolglos probiert sämtliche mir bekannten Programmverzeichnisse mit Schreibschutz zu versehen oder mit Filemon die Dateizugriffe und mit Regmon die Registryzugriffe zu überwachen.

Leider konnte ich weder in Filemon noch in Regmon verdächtige Einträge entdecken. Beide zeigen fast ausschließlich Lesezugriffe.
In Filemon sind die einzigen Schreibzugriffe die beim Programm beenden in eine Crashlog Datei. In Regmon schreibt nicht das Programm selber sondern nur der Visual Studio Debugger(vsjitdebugger.e) beim Beenden einen Eintrag in HKLM\Software\Microsoft\Cryptography\RNG\Seed.

Bin jetzt am Ende meines Wissen und frage mich wo zum Teufel kann ein Programm noch seine Benutzer-Einstellungen speichern kann ohne, dass ich es in den obigen Programmen mitbekomme?

[wavenetuser]

hi
dies ist wohl das falsche forum für solche fragen. du könntest dich an google wenden - bekommst genug anlaufstellen.

[diskette]

kann sein dass der hersteller des programms ja will dass man den speicherort nicht findet ( nicht so leicht)
sonst könnte man ja ewig mit 30 tages-versionen arbeiten

[Air20]

schaust du dir mit reg/file-mon nur die exe an die gerade läuft oder alles?
hatte schonmal programme, wo nicht die exe selber die einstellungen geschrieben hat sondern irgendeine art subprogramm...
HTH

[michaelw]

Äh, wie soll mir Google bei so einer Aktion helfen? Es geht da um ein nicht besonders bekanntes Programm das auf Spezial-PCs läuft. Das wird selbst in Google kaum einer kennen.

Und das einzige was ich bezwecken will ist das ich die Einstellungen schreibschützen will da machnmal diverse Mitarbeiter unerlaubt Änderungen vornehmen. Bisher hat aber eben weder ein Schreibschutz bei den Programmverzeichnissen noch in den Registryzweigen was gebracht. Auch bei PCs mit eingeschränkten Rechten wo man ja im "Windows" und im "Programme" Ordner nichts ändern kann speichert dieses Programm seine Einstellungen irgendwo.

Oder kann es sein das das Programm doch irgendwas verheimlicht da es als Kopierschutz CRYPKEY einsetzt welches ständig als Service läuft. Persönlich glaub ich das aber weniger denn der Kopierschutz soll ja eher nur den Programmstart verhindern und nicht während der LAufzeit was beinflussen.

[lordpeng]

wärs nicht einfacher beim hersteller diesbezüglich anzufragen? unter umständen weist er dich noch darauf hin, dass möglicherweise bestimmte konfigurationseinstellungen nicht schreibgeschützt werden sollten ...

... manche programme werfen nämlich mit fehlermeldungen um sich, wenn ihre konfiguraton nicht schreibbar ist, daher sollte man auf jedenfall mit dem hersteller rücksprache halten sofern das möglich ist ...

Oder kann es sein das das Programm doch irgendwas verheimlicht da es als Kopierschutz CRYPKEY einsetzt welches ständig als Service läuft. Persönlich glaub ich das aber weniger denn der Kopierschutz soll ja eher nur den Programmstart verhindern und nicht während der LAufzeit was beinflussen.
Äh, wie soll mir Google bei so einer Aktion helfen? Es geht da um ein nicht besonders bekanntes Programm das auf Spezial-PCs läuft. Das wird selbst in Google kaum einer kennen.

Und das einzige was ich bezwecken will ist das ich die Einstellungen schreibschützen will da machnmal diverse Mitarbeiter unerlaubt Änderungen vornehmen. Bisher hat aber eben weder ein Schreibschutz bei den Programmverzeichnissen noch in den Registryzweigen was gebracht.

Oder kann es sein das das Programm doch irgendwas verheimlicht da es als Kopierschutz CRYPKEY einsetzt welches ständig als Service läuft. Persönlich glaub ich das aber weniger denn der Kopierschutz soll ja eher nur den Programmstart verhindern und nicht während der LAufzeit was beinflussen.Äh, wie soll mir Google bei so einer Aktion helfen? Es geht da um ein nicht besonders bekanntes Programm das auf Spezial-PCs läuft. Das wird selbst in Google kaum einer kennen.

Und das einzige was ich bezwecken will ist das ich die Einstellungen schreibschützen will da machnmal diverse Mitarbeiter unerlaubt Änderungen vornehmen. Bisher hat aber eben weder ein Schreibschutz bei den Programmverzeichnissen noch in den Registryzweigen was gebracht.

>nur den Programmstart verhindern und nicht während der LAufzeit was beinflussen.
da wär ich mir nicht so sicher, heutzutage wird in zufälligen zeitintervallen auf dongles zugegriffen und nicht 'nur' beim programmstart

[diskette]

probiers mal umgekehrt.
soviel wie möglich sperren ( rechtemäßig)
wenn das prog nicht fktioniert, sollte es ja zeigen in welche datei es nicht schreiben kann.

[lordpeng]

>soviel wie möglich sperren ( rechtemäßig)
ich bin nicht sicher, ob das so eine gute idee ist, weil gewisse sachen äussern sich unter umständen erst wenn bestimmte programmfunktionen aufgerufen werden, je nachdem wie komplex die anwendung ist kann das 'freischalten' dann umständlicher sein als das sperren selber ...

[michaelw]

Ausprobieren ist kein Problem da ich das Ganze auch auf einem Test-PC installiert habe. Dort hab ich bereits erfolglos alles mir bekannte an Ordner, Dateien und Registryzweigen sperren probiert.

[michaelw]

Kennt keiner noch irgendein anderes Tool zum Überwachen worauf denn ein Programm so zugreift oder sind Filemon und Regmon schon das höchste der Gefühle?

[lordpeng]

irgendwie hab ich dumpf in erinnerung, dass das nt resource kit sowas dabei hatte, wie das programm geheissen hat, kann ich dir allerdings nicht mehr sagen, auf jedenfall sollt sich's irgendwo auf der microsoft website finden

eine andere möglichkeit wäre eventuell softice, allerdings gehts da schon etwas mehr ins eingemachte ...

[ulrich]

Kennt keiner noch irgendein anderes Tool zum Überwachen worauf denn ein Programm so zugreift oder sind Filemon und Regmon schon das höchste der Gefühle?

Vielleicht "Spybot - Search and Destroy" http://www.safer-networking.org?
Unter Tools/Resident... damit werden Änderungen der registry überwacht...