Eso tenía pensado hacer, y lo he hecho.

En la máquina virtual con otro windows 10 (ya que el win7 en la virtualbox me va petadísimo).

Y el resultado para mi sorpresa ES EL MISMO.

Te deja crear claves pero no eliminarlas, y eso tiene sentido pues si vamos a el administrador de tareas en la pestaña "inicio" podemos deshabilitar un programa del inicio, pero sin embargo su clave persiste y no se borra. Para poder reestablecernos, debemos eliminar la clave y luego crearla, de esa manera nuestro programa estará habilitado de nuevo, luego creo que es por seguridad.

Saludos.

Hola ivancea gracias por la respuesta y ayuda como siempre

Pues pasa para todas las de Run y a las de otros directorios también parece, incluso desde la terminal da errores al borrar para otros directorios:



Incluso como administrador no me deja borrar las de otros directorios:



Incluso fuera de HKCU:


Resumen: No puedo borrar aparentemente NINGUN registro desde terminal, ni desde el programa, ni con privilegios ni sin ellos, recibo siempre el mismo error:

"ERROR: El sistema no ha podido encontrar la clave o el valor del Registro
especificados."

Eso si escribir en el registro siempre deja con y sin permisos sin problema con el terminal y con el programa.


Será cosa del ordenador viruses y demás seguramente..

El unico programa que es capaz de cerrarlo es regedit con permisos de administrador, me pregunto si al poner "REG" en el terminal estoy llamando a regedit, porque sino es así quizás ejecutandolo con los parametros de borrado y con privilegios sea capaz de borrarlo el desde el programa, pero vamos.

Saludos.

También XD, ¿podéis probar vosotros a ver cual es el resultado, funciona o es cosa de mi ordenador? con mi funcion de escritura que he puesto y la de borrado bastará para hacer las pruebas. Luego es abrir regedit y comprobar el registro en cuestión, la función de escritura añadirá al registro el nombre del ejecutable que ejecuta el código, solo hay que pasarla un nombre para la clave, y privilegios ponedlos a false.

De todas maneras, seguiré indagando dónde puede estar el error, porque no hay explicación alguna para que falle, dice que "El sistema no puede encontrar el archivo especificado." WTF.

Saludos y gracias socio.

Sí XD, pero solo directamente desde ella, desde su interfaz gráfica.

C:\WINDOWS\system32>reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\pepito
¿Desea eliminar permanentemente la clave del Registro HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\pepito (Sí/No)? si
ERROR: El sistema no ha podido encontrar la clave o el valor del Registro
especificados.
 

Es que es raro de cojones, porque si no la encuentra antes de pedirme confirmación me dice "ERROR: nombre de clave no válido."

He editado, el mensaje anterior, pensaba que tenías un problema al hacer el spoofing en windows 10 como ha ocurrido a algunos usuarios entre ellos yo, pero si les sale la alerta en el navegador a las victimas es que si te funciona.

Prueba a cambiar la configuración, a cargar en las victimas páginas con HTTP y loguearte en ellas...

Saludos

Mismo resultado:

if (RegDeleteTree(HKEY_CURRENT_USER, L"Software\\Microsoft\\Windows\\CurrentVersion\\Run\\pepito") == NO_ERROR){
			cout << "conseguido";
			return true;
		}
 

Caso perdido, que se quede con el registro, se le regalo :"D

Bueno releyendo tu comentario, parece que haces el spoofing correctamente.

Si se te desconecta a veces estoy casi seguro que es debido a una mala conexión a la red como en el caso de que uses wifi y la señal no sea la mejor, a mi me han ocurrido casos.

Si a las victimas les aparece el cartelito es que el navegador detecta un certificado falso seguramente, prueba cambiando la configuración, yo no tengo ni idea de cain y abel.

Suerte.

Wow sorprendente resultado, desconocía la función FormatMessage.

LSTATUS l = RegDeleteKeyW(HKEY_CURRENT_USER, L"Software\\Microsoft\\Windows\\CurrentVersion\\Run\\pepito");
LPTSTR errorText = NULL;
 
	FormatMessageW(
		// use system message tables to retrieve error text
		FORMAT_MESSAGE_FROM_SYSTEM
		// allocate buffer on local heap for error text
		| FORMAT_MESSAGE_ALLOCATE_BUFFER
		// Important! will fail otherwise, since we're not 
		// (and CANNOT) pass insertion parameters
		| FORMAT_MESSAGE_IGNORE_INSERTS,
		NULL,    // unused with FORMAT_MESSAGE_FROM_SYSTEM
		l,
		MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT),
		(LPTSTR)&errorText,  // output 
		0, // minimum size for output buffer
		NULL);   // arguments - see note 
 
	if (NULL != errorText)
	{
		// ... do something with the string `errorText` - log it, display it to the user, etc.
		wcout << errorText;
		// release memory allocated by FormatMessage()
		LocalFree(errorText);
		errorText = NULL;
	}
 

Salida: "El sistema no puede encontrar el archivo especificado." Con y sin permisos no lo encuentra. Y yo me pregunto, ¿como no lo encuentra si esta todo bien? ¿quizás porque use unicode?, he probado también a eliminar otra clave del mismo directorio "Spotify", y el resultado ha sido el mismo, que no lo encuentra. :"D

Hola ivancea, gracias por la respuesta.

Se me olvidó mencionar anteriormente que no tiene privilegios la aplicación, pero es que no los debería de necesitar, para crear la clave y leerla en HKEY_CURRENT_USER no necesita privilegios, y para borrarla pues debería de ser igual (ya que también he probado a hacerlo intentandola borrar con privilegios y falla también, luego los privilegios no son el problema).

He probado como dijistes a listar el directorio (hacer un enum RegEnumKeyEx), en este caso para "HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run" y ha mostrado las claves con éxito incluida la que quiero borrar "pepito"

Luego puedo escribir en HKEY_CURRENT_USER con RegSetValueEx y leer sus variables para comprobar si existen con RegGetValue, pero el RegDeleteEx... ni con privilegios ni sin ellos es capaz de borrar en HKEY_CURRENT_USER ni en HKEY_LOCAL_MACHINE.

He probado a llamarla de 3 maneras:


Todas sin éxito, la clave creada es de tipo REG_SZ.

Y es que no sé, mirad esta es la funcion que ancla al registro y crea la clave que luego procedemos a borrar, funciona perfectamente:

bool AttachToRegistry(bool privileges, LPCWSTR keyName)
{
	WCHAR processPath[MAX_PATH];
	HKEY hKeyOutput;
	HKEY hKeyInput;
	DWORD options;
	BOOL ret = FALSE;
 
	hKeyInput = (privileges) ? HKEY_LOCAL_MACHINE : HKEY_CURRENT_USER;
	options = (arquitecturax64()) ? KEY_ALL_ACCESS | KEY_WOW64_64KEY : KEY_ALL_ACCESS | KEY_WOW64_32KEY;
 
	if (GetModuleFileName(NULL, processPath, MAX_PATH))
	{
		std::wstring p = L"\"" + std::wstring(processPath) + L"\"";
 
		if (RegOpenKeyEx(hKeyInput, L"Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, options, &hKeyOutput) == NO_ERROR)
		{
			if (RegSetValueEx(hKeyOutput, keyName, NULL, REG_SZ, (LPBYTE)p.c_str(), p.length()*2) == NO_ERROR)
			{
				ret = TRUE;
			}
			RegCloseKey(hKeyInput);
			RegCloseKey(hKeyOutput);
		}
	}
 
	return ret;
}
 

Como la de borrar es una copia de la misma, ha diferencia de que en vez de llamar a RegSetValueEx llama a RegDeleteKeyEx, probaré con RegDeleteKey y os cuento.

Saludos.

Edito: Acabo de probar con RegDeleteKey el resultado es el mismo, no funciona ni con ni sin permisos, no hay manera de borrarla, ¿algún hook?.

En el main mismo:

if (RegDeleteKey(HKEY_CURRENT_USER, L"Software\\Microsoft\\Windows\\CurrentVersion\\Run\\pepito") == ERROR_SUCCESS)
	{
		cout << "Borrado";
	}
	cout << GetLastError();
 

Muestra 0, es decir no borra ni entra en el if y no detecta error.

Probaré con un tercer método que si espero que funcione, con "system", ahora os digo.

Con batch da error:, con y sin permisos:

Código:

system("REG DELETE HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\pepito");

"¿Desea eliminar permanentemente la clave del Registro HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\pepito (Sí/No)? si
ERROR: El sistema no ha podido encontrar la clave o el valor del Registro
especificados."

Me dice que no la encuentra, pero bien que aparece en regedit y al hacer el enum. :"DDD

Lo probé todo lo que dijistes pero no lo puse en el código.

Entra en el if de RegOpenKeyEx pero no en el de RegDeleteKeyEx ya que da error.

También probé a llamar a GetLastError() pero returnaba 0, lo puse justo detrás del if del delete.

Y poco más, la dirección de la clave abierta debe de ser la misma ya que para crearla uso el mismo código para abrirla (el mismo open). No entiendo que puede fallar :/

Con permisos ocurre lo mismo.

Iré mirando, gracias por las respuestas, y a ver si lo encuentro solución.

Saludos.

Edito: Mejor os paso el código con el "debugger" XD:

bool RemoveFromRegistry(bool privileges, LPCWSTR keyName)
{
	HKEY hKeyOutput;
	HKEY hKeyInput;
	DWORD options;
	BOOL ret = FALSE;
	//poner HKEY_USERS
	hKeyInput = (privileges) ? HKEY_LOCAL_MACHINE : HKEY_CURRENT_USER;
	options = (arquitecturax64()) ? KEY_ALL_ACCESS | KEY_WOW64_64KEY : KEY_ALL_ACCESS | KEY_WOW64_32KEY;
 
	if (RegOpenKeyEx(hKeyInput, L"Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, options, &hKeyOutput) == NO_ERROR)
	{
		cout << "hola1";
		options = (arquitecturax64()) ? KEY_WOW64_64KEY : KEY_WOW64_32KEY;
		if (RegDeleteKeyEx(hKeyOutput, keyName, options, NULL) == NO_ERROR)
		{
			cout << "hola2";
 
			ret = TRUE;
		}
		RegCloseKey(hKeyInput);
		RegCloseKey(hKeyOutput);
		cout << GetLastError();
	}
	cout << "hola3";
	return ret;
}
 

Salida: