Le registre Windows : explications

Un ordinateur fonctionnant sous le système d’exploitation Windows comporte plusieurs zones essentielles d ‘analyses : la RAM, le disque dur et le registre. Dans les lignes qui vont suivre, c’est le registre qui va faire l’objet d’une petite explication.  On pourrait le définir comme la base de données centrale et hiérarchisée utilisée par les systèmes de Microsoft pour y stocker les informations nécessaires à la configuration du système, celles relatives aux utilisateurs, aux programmes ainsi qu’aux différents terminaux. Le registre est donc une compilation ou une collection de fichiers qui peut s’avérer être une mine d’or. En effet, on peut y trouver :

·         Les différents réseaux sur lequel un ordinateur s’est connecté,

·         Les différents sites auxquels un utilisateur a accédé ainsi que les termes qu’il a cherché mais également les mots de passe,

·         Les différents fichiers et programmes les plus utilisés,

·         Tous les terminaux externes qui ont été branchés en USB,

·         Les programmes installés puis désinstallés,

·         Etc.

Pour résumer, tout ce qui a été fait un ordinateur fonctionnant sous Windows comporte une trace, quelque part, dans le registre. On pourrait objecter que ceci est spécifique à Windows et qu’il existe d’autres systèmes d’exploitation. Cette remarque est juste mais selon différentes statistiques, on estime qu’entre 70% et 85% des utilisateurs d’ordinateurs utilisent Windows, contre environ 10% à 15% pour MAC, le reste des utilisateurs étant éparpillés entre GNU/Linux et BSD.

Accéder au registre d’un ordinateur fonctionnant sous Windows n’est pas d’une grande complexité : il suffit d’aller sur le bouton de démarrage ou de menu de Windows, de taper « regedit » et le registre va automatiquement s’afficher. On y verra alors une arborescence de dossiers :

·         HKEY_CLASSES_ROOT (HKCR), 

·         HKEY_CURRENT_USER (HKCU),

·         HKEY_LOCAL_MACHINE (HKLM),

·         HKEY_USERS (HKU),

·         HKEY_CURRENT_CONFIG (HKCC).

 

éditeur de registre

HKCR constitue la majorité du registre. On y retrouvera les différentes configurations, les fichiers associés aux différents programmes, etc.

HKCU contient les informations de configuration spécifiques à chaque utilisateur d’une même machine : son niveau de privilège, ses configurations, ses programmes, ses terminaux, ainsi que ses paramètres relatifs à sa messagerie Microsoft Outlook Express.

HKLM contient les paramètres spécifiques de la machine, applicable à tous les utilisateurs. Un des sous-dossiers qui peut s’avérer très intéressant est SYSTEM > Mounted Devices qui recense tous les terminaux USB différents qui ont pu être connectés à la machine. Il suffit de sélectionner un fichier presque au hasard, de faire un clic-droit, de choisir « modifier les données binaires » pour voir s’afficher les informations relatives au terminal.

Modifier une valeur binaire

HKU contient les informations spécifiques  de configurations de chaque utilisateur avec notamment des informations relatives aux connexions, les dates et heures, les derniers changements de mots de passe, les erreurs de connexion, etc.

HKCC stocke les informations de configurations des différents matériaux.

Il s’agit d’une énumération rapide des différents dossiers et sous-dossiers contenus dans le registre. Ce qui est intéressant est de lire le registre, de l’analyser et d’en comprendre les informations. Mais le problème – qui n’en est pas réellement un – est de pouvoir manipuler les données du registre dans laisser d traces. En effet, chaque modification, chaque connexion est enregistrée dans le registre, que ce soit la connexion d’une clef USB dans une machine, sa copie de disque dur et bien entendu, l’ouverture et la lecture même du dit registre. Ceci explique pourquoi le registre ne s’analyse jamais en live mais presque toujours en post-mortem.

On le disait précédemment, tous les terminaux branchés en USB sont répertoriés. On peut par exemple, les trouver dans HKLM>SYSTEM>CurrentControlSet>Control>usbtor. On peut également retrouver les imprimantes, les lecteurs DVD, les DVD dans les autres dossiers. Ceci peut permettre de repérer une éventuelle fuite de données sur une machine.

*A suivre* 

Commentaires

Combien d'utilisateurs ne désactivent pas le registre à distance ? 80% et après on se demande pourquoi Microsoft ou Google savent tout sur nos manières de travailler sur informatique.

En même temps, faut savoir le faire

Ajouter un commentaire