Nachfrage Programmierung Anno 1800

[IT-T0bi]

Moin Leute,

ich habe bei Kaspersky mal die testweise die Option 'Empfohlene Aktion automatisch durchführen' abgewählt. Demnach bekomme ich jedes Mal eine Abfrage wenn ein Programm auf einen Regedit-Eintrag zugreifen/ändern will oder ein anderes Programm startet. Bei Anno 1800 ist mir beispielsweise aufgefallen, dass der Regedit-Eintrag HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip angeblich geändert wird. Ich habe ein Vorher-Nachher-Vergleich gemacht, tatsächlich wird kein Eintrag geändert/erstellt. Genau dasselbe auch bei HKLM\SOFTWARE\Microsoft\SystemCertificates\CA\. Meine Frage nun an die Programmierer, ist das normal und falls ja wieso oder hat Kaspersky wahrscheinlich ein Problem? Oder meint ihr einfach Ubisoft vertrauen?

MfG

 

[Eishunter]

was hat ein regit-Eintrag mit Programmieren zu tun ?

 

[IT-T0bi]

Oftmals ist es ja so, dass irgendwelche .dll's auf die Regedit-Einträge zugreifen. Vielleicht hat jemand ein Idee, warum das so ist

 

[Silverangel]

ist das normal und falls ja wieso oder hat Kaspersky wahrscheinlich ein Problem?

Ne, du hast ein Problem. Nennt sich Kaspersky. Entferne den Mist und du bist das Problem los.

 

[IT-T0bi]

Ich habe mal eben mal tatsächlich mit Process Monitor von Sysinternals nachgeschaut.
Tatsächlich gibt es einen Eintrag RegCreateKey an die obengenannten Pfade. Als Bemerkung steht jedoch Desired Access: Read
Disposition: REG_OPENED_EXISTING_KEY

 

[Eishunter]

Man ist das so schwer zu Verstehen, dass Win10 keinen weiteren Viren-Sacanner braucht.
Deinstalliere den Kaspersky und gut ist.

Hat Silverangel schon gesagt.

Ne, du hast ein Problem. Nennt sich Kaspersky. Entferne den Mist und du bist das Problem los.

 

[IT-T0bi]

Die Diskussion zwischen Defender und Drittanbieter-Software ist glaube ich in anderen Threads näher zu analyiseren und nicht die Lösung für meine Frage.
Wenn ich die Analyse beim Process Monitor nachvollziehen kann, ist die nächste Lösung die Entfernung dessen? (ist übrigens auch ein Microsoft Tool)
Hat jemand noch andere konstruktive Beiträge?

 

[Eishunter]

ist die nächste Lösung die Entfernung dessen?

dann viel Spaß !
Wer nicht höhren kann muss fühlen.
Dann lebe halt mit deinen Fehlermeldungen weiter.
Ich bin jetzt raus.

 

[RalphS]

Ich bin geschockt und entsetzt ob so viele Arroganz - und gleichzeitiger Ahnungslosigkeit! --- die hier einem Interessierten entgegengebracht wird. Nicht jeder ist dem Stillstand erlegen -- es gibt noch Neugierige und das ist gut so!


@IT-T0bi sorry daß mit Dir in diesem Thread so umgesprungen wurde. Um Deine Frage zu beantworten:
- Es ist üblich, in der Programmierung auf Standardroutinen zurückzugreifen.
Davon gibt es natürlich auch genügend für den Zugriff auf die Windows-Registry, an der Stelle hauptsächlich solche zum Öffnen und Lesen von Einträgen dort.

Nun ist es aber so, daß man bei der Interaktion mit solchen Standardroutinen meist auch Standardvorgaben hat, die man optional ändern kann, wenn man das will. Das betrifft auch die Funktion zum Öffnen von Reg-Schlüsseln.
Nehmen wir an, der Programmierer möchte auf einen ihm bekannten Registry-Zweig zugreifen. Problem: Dieser Schlüssel existiert vielleicht nicht. Programmierung ist exakt, sprich im Zweifel stürzt ganz einfach das Programm ab, weil etwas eingetreten ist, was der Programmierer nicht berücksichtigt hat (Regschlüssel geöffnet, obwohl er nicht da ist).

Deswegen ist es üblich, Regschlüssel und übrigens auch Dateien und Ordner beim Öffnen mit einem zusätzlichen Flag "OpenOrCreate" zu versehen. Nach dem Aufruf der Funktion ist der Schlüssel dann auf jeden Fall da.

"Haken": Die Aktion wird im Hintergrund durch die Umsetzung der Funktion selber (das ist nicht mehr Sache des Programmierers) zweimal ausgeführt. Wenn das Flag OpenOrCreate gesetzt ist, wird einfach versucht, den Schlüssel anzulegen, und wenn das fehlschlägt weil schon da, wird das ignoriert. Danach wird der Schlüssel geöffnet (entweder der existierende oder der eben angelegte). Ergebnis ist das, was gewünscht war.


Und diese Aktionen sieht man dann, wenn man Aktionen auf der Registry, dem Dateisystem oder anderswo überwacht (protip: Sysinternals' Process Monitor erlaubt solche Überwachungen sehr detailliert).

Die von Dir angegebenen Regschlüssel sagen, daß wenn jemand darauf zugreift: diese Anwendung möchte irgendwie übers Netzwerk kommunizieren (das sind üblicherweise hierarchische Aufrufe; der Programmierer hat irgendeine Funktion aufgerufen und das kaskadiert dann bis runter) und hat auch irgendwas mit Zertifikaten zu tun: in Zusammensetzung könnte das ein ganz normaler Websiteaufruf sein (via HTTPS), da es um AV-Software geht, möglicherweise in Verbindung mit dem Scannen einer solchen. Kann aber natürlich auch was anderes sein (zB Teamviewer und manche VPN-Typen würden ähnliche Zugriffe generieren).

Der Defender übrigens auch. Und jede andere Software ebenfalls. Jegliche Diskussion bzgl "welche AV Software ist natürlich komplett offtopic und hat auch keine Auswirkungen auf das beschriebene Bild, AUSSER daß man es nicht mit jeder Software zu Gesicht bekommt.

 

[BeBur]

Glaube du hast was falsch verstanden, RalphS, auch wenn das nichts an den Aussagen ändert.
Das PC Spiel Anno 1800 fragt diese Zugriffe an, welche von dem "Antivirus" Programm bemängelt werden.

Ich würde davon ausgehen, dass ein Programm mit Benutzer-Rechten nicht einfach mal im Hintergrund an den Zertifikaten herumfummeln kann, wodurch ein Monitoring dessen also überflüssig wäre. Dito TCP/IP Einstellungen.
Eine Veränderung - ohne als Linux Nutzer konkret zu wissen was an dieser konkreten Stellen abgespeichert ist - wäre aber vermutlich durchaus kritisch und falls das Spiel illegal geladen wurde durchaus erstmal ein Grund zur Sorge.

 

[lemon03]

Die Antwort von RalphS war aber immerhin eine mit viel Informationsgehalt. Manche Sachen wußte ich gar nicht so. Während "schmeiß den AV-Scanner raus!", 5 mal wiederholt, gar nichts enthält außer Störrauschen.

 

[IT-T0bi]

@RalphS Ich danke dir für diese ausführliche Antwort. Viele meiner Fragen haben sich nun geklärt. Immer wieder schön, dass sich einige aus der Community die Zeit nehmen und so detailliert schreiben.


Die CA-Einträge wurden durch dxdiag aufgerufen, welches durch Anno initiiert wurde. Anno hat die TCP/IP-Parameters mittels RegCreateKey abgefragt. Da war die Info mit existing Keys ganz interessant.
Keine Sorge, dass Spiel wurde legal gekauft und durch Ubisoft Play installiert. Das AV-Programm hat auch nur die Meldungen eingeblendet, weil ich interessehalber die Einstellungen strikter gestaltet habe . Das war also also pure Absicht. Keine Angst, ich arbeite schon länger in der IT und bin mir mit meinen Aktionen bewusst was ich tue.

 

[abcddcba]

ich suche immer noch den Bezug zu "Programmieren" - ansonsten gibt es hier so ein witziges Windows Unterforum, da koennt ihr euch uber Registry "Hacks" doch austauschen und fachsimpeln. Viel Erfolg!