Registre

But et fonction

Le Registre Windows est une base de données centrale hiérarchique qui sert de base de base de configuration pour le système d’exploitation Windows et de nombreuses applications qui y sont installées. Il stocke un vaste éventail de paramètres basiques, de configurations matérielles, de préférences utilisateurs, de détails d’installation logicielle et de politiques système. Windows lui-même et les logiciels tiers dépendent fortement du Registre pour stocker et récupérer les informations nécessaires à leur bon fonctionnement.

Du point de vue du DFIR, le Registre est l’une des sources les plus riches d’informations médico-légales sur un système Windows. Son rôle crucial dans le fonctionnement du système en fait une cible principale tant pour les logiciels malveillants (pour la persistance et l’évasion) que pour les analystes médico-légaux (pour la récupération de preuves).

Emplacement et structure

Le Registre n’est pas un seul fichier mais est composé d’un ensemble de fichiers appelés ruches. Ces ruches sont chargées en mémoire au démarrage du système et sont mappées à la structure hiérarchique familière observée dans des outils comme .regedit.exe

Les principaux dossiers de ruche et leurs emplacements incluent :

  • SYSTÈME : (Contient le matériel et les configurations de service à l’échelle du système)C:\Windows\System32\config\SYSTEM

  • LOGICIEL : (Contient les paramètres logiciels à l’échelle du système)C:\Windows\System32\config\SOFTWARE

  • SAM : (Stocke le compte utilisateur local et les informations de sécurité)C:\Windows\System32\config\SAM

  • SÉCURITÉ : (Stocke les politiques de sécurité à l’échelle du système)C:\Windows\System32\config\SECURITY

  • NTUSER. DAT : (Contient des paramètres spécifiques au profil utilisateur)C:\Users\%username%\NTUSER.DAT

  • UsrClass.dat : (Contient l’enregistrement COM spécifique à l’utilisateur et d’autres paramètres du shell)C:\Users\%username%\AppData\Local\Microsoft\Windows\UsrClass.dat

Le Registre est organisé en une structure arborescente composée de Clés (comme des dossiers) et de Valeurs (comme des fichiers), qui stockent les données de configuration réelles.

Valeur médico-légale dans la configuration et la persistance

Bien que le Registre contienne d’innombrables artefacts (dont beaucoup, comme UserAssist et Shellbags, sont abordés dans d’autres chapitres), sa valeur principale dans ce contexte réside dans la révélation de la configuration du système et des mécanismes de persistance communs.

  • Preuves d’installation de logiciels : Le Registre contient de nombreux enregistrements de logiciels installés sous des touches telles que . Ces entrées peuvent prouver qu’une application (comme un installateur de triche connu) a été installée sur le système, conservant souvent les informations même après la désinstallation.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

  • Configuration du système et de la sécurité : Les touches à l’intérieur des ruches et révèlent des réglages critiques du système. Les analystes peuvent vérifier s’il y a des fonctionnalités de sécurité désactivées (comme UAC ou Windows Defender), des configurations modifiées de service, ou des politiques conçues pour entraver l’enquête (par exemple, empêcher l’accès à ou ).SYSTEM SECURITY cmd.exe regedit.exe

  • Persistance via et Keys : Ce sont les mécanismes de persistance les plus classiques et courants sur Windows. Les programmes listés comme valeurs dans ces clés de registre sont automatiquement exécutés au démarrage du système ou à la connexion utilisateur. Les malwares et les chargeurs de triche sont fréquemment placés ici pour garantir leur fonctionnement automatique. Les principaux lieux incluent :Run RunOnce

    • HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

    • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

  • Autres mécanismes de persistance : Le Registre héberge de nombreuses autres techniques de persistance, notamment le détournement COM (modification des clés CLSID) et la création d’entrées de service malveillantes sous .AppInit_DLLs HKLM\SYSTEM\CurrentControlSet\Services

  • Preuves de falsification : Le temps « LastWrite » d’une clé de registre est un horodatage crucial qui indique quand une clé ou l’une de ses valeurs a été modifiée pour la dernière fois. Un temps récent de LastWrite sur une clé connue pour sa persistance ou sur une clé qui devrait être statique est un indicateur fort d’une activité malveillante récente. Les analyseurs syntatiques de registres judiciaires peuvent aussi souvent identifier et récupérer les clés et valeurs supprimées, révélant ainsi des tentatives d’effacer ces entrées de persistance.

Points de réflexion (Concours SS)

Pour un ScreenSharer, le Registre est une cible principale pour trouver des triches conçues pour être « collantes » et pour découvrir des modifications de système destinées à soutenir la triche.

  • À la recherche de triches pour démarrage automatique : Les clés servent à vérifier dans tout partage d’écran approfondi. Trouver le chemin vers un chargeur de triche ou un exécutable inconnu dans l’une de ces clés est la preuve définitive d’une tentative de persistance.Run

  • Découvrir la manipulation du système : Un joueur peut désactiver les fonctions de sécurité via le Registre pour permettre à ses triches de fonctionner sans entrave. Un SSer peut vérifier des clés de politique spécifiques pour trouver des preuves de cette altération (par exemple, pour bloquer l’invite de commande, ou des clés pour affaiblir Windows Defender).DisableCMD

  • L’horodatage « LastWrite » : C’est une preuve simple mais puissante. Si vous trouvez une entrée suspecte dans une clé, vérifier le temps de LastWrite de la clé elle-même peut vous indiquer quand cette entrée a été ajoutée, ce qui pourrait la relier directement à la session de jeu en cours.Run Run

  • Récupérer la persistance supprimée : Utiliser un outil comme Registry Explorer, qui peut afficher les clés supprimées, est vital. Un joueur peut lancer une triche qui s’ajoute à une clé puis supprime l’entrée avant le SS. Un analyseur médico-légal peut souvent récupérer cette entrée supprimée, fournissant des preuves concluantes à la fois de l’exécution et d’une tentative de dissimulation des traces.Run

PrécédentConfiguration et persistance du systèmeSuivantArtefact du planificateur des tâches

Mis à jour