Registre Windows : Introduction

Introduit pour la première fois dans Windows 3.1, le Registre Windows est devenu une base de données centrale et hiérarchique qui sert de centre de configuration central pour le système d’exploitation et de nombreuses applications et composants matériels qui y sont installés. Pensez-y comme au système nerveux central du système pour les réglages ; Il stocke un large éventail d’options basiques, de préférences, de configurations matérielles, de profils utilisateurs, de paramètres d’application, et bien plus encore. Windows lui-même et les logiciels tiers dépendent fortement du Registre pour stocker et récupérer les informations nécessaires à leur bon fonctionnement. Les développeurs utilisent cette base de données en créant et modifiant des entrées appelées « Clés » et « Valeurs » pour dicter le comportement des logiciels et du matériel.

Son rôle crucial dans le fonctionnement du système en fait également une mine d’or pour les enquêteurs médico-légaux et, par conséquent, un domaine clé d’examen lors des partages d’écran. Le Registre contient une mine d’informations sur :

  • Configuration du système, dispositifs matériels et pilotes installés.

  • Logiciels installés, historique d’utilisation et détails de désinstallation (par exemple, listes MRU, UserAid, références Amcache).

  • Informations sur les comptes utilisateur, préférences et journaux d’activité (par exemple, dernière connexion, documents récemment consultés via des clés spécifiques).

  • Historique des périphériques USB connectés (clés USBSTOR).

  • Configuration réseau et historique de connexion.

  • Mécanismes potentiels de persistance des logiciels malveillants (par exemple, clés d’exécution, configurations de service, entrées de registre de tâches planifiées).

  • Des traces de techniques de contournement spécifiques ou de modifications du système.

Cependant, modifier directement le registre peut avoir des conséquences importantes, pouvant entraîner une instabilité du système ou des dysfonctionnements des applications. C’est pourquoi on met souvent en garde les utilisateurs contre les modifications manuelles à moins de savoir exactement ce qu’ils font, et pourquoi il est recommandé de faire des sauvegardes avant d’apporter des modifications substantielles.

  • Accéder au registre :

    • regedit.exe (Rédacteur en chef du registre) : C’est l’outil graphique intégré principal pour naviguer et modifier manuellement le Registre. Il est généralement accessible via la boîte de dialogue Exécuter (Win+R ->). Note médico-légale : L’apparition de sa propre présence dans les journaux d’exécution (comme les données de prélecture ou BAM) suggère fortement une interaction directe de l’utilisateur avec le Registre. Si cela se produit peu avant ou pendant la partie ou un partage d’écran, cela mérite d’être examiné pour savoir ce qui a pu être modifié ou supprimé. Regedit a aussi tendance à se souvenir de la dernière clé accédée, ce qui peut parfois fournir un indice si l’utilisateur n’a pas navigué avant de la fermer.regeditregedit.exe

    • reg.exe: Un utilitaire en ligne de commande pour interroger, ajouter, supprimer et modifier les entrées du registre. Il est souvent utilisé dans des scripts ou des fichiers batch pour des modifications automatisées. Note médico-légale : Voir dans les journaux d’exécution est un indicateur fort de manipulation délibérée du Registre, souvent liée à l’effacement d’artefacts médico-légaux (comme les entrées BAM ou UserAssist), à la modification des paramètres de sécurité ou à la mise en œuvre de contournements. L’historique en ligne de commande (si disponible, par exemple l’historique PowerShell) peut révéler les commandes spécifiques utilisées.reg.exe

    • Outils tiers : Des outils médico-légaux spécialisés comme Registry Explorer (Eric Zimmerman) offrent des capacités bien au-delà de . Ils peuvent analyser directement les fichiers de ruche du registre (même hors ligne), récupérer souvent les clés et valeurs supprimées (les surlignant visuellement), fournir des recherches et des filtres puissants, et inclure des favoris pour les emplacements pertinents sur le plan médico-légal. D’autres outils comme RegScanner offrent également une fonction de recherche améliorée.regedit

PrécédentAutres dossiers/lieux notablesSuivantStructure du registre : Ruches, clés et valeurs

Mis à jour