Nettoyage du registre (BAM, RecentDocs, etc.)

  • Description: Cela implique la suppression de clés ou de valeurs spécifiques dans le registre Windows qui stockent les données d’activité historiques. Les cibles courantes sont des ruches connues pour enregistrer l’exécution de programmes ou l’accès aux fichiers.

  • Mécanisme:

    • Suppression manuelle () : L’utilisateur navigue manuellement vers des clés spécifiques dans l’Éditeur de registre et les supprime, ainsi que leurs valeurs.regedit.exe

    • Ligne de commande () : Utiliser des commandes dans CMD ou des scripts pour supprimer les clés/valeurs ciblées de façon programmatique.reg.exereg delete

    • Outils de nettoyage : Des services publicitaires comme CCleaner incluent souvent des options pour nettoyer des listes spécifiques de MRU du Registre ou potentiellement d’autres journaux d’activité.

  • Cibles courantes :

    • BAM (Modérateur d’activité en arrière-plan) : Les clés sous les chemins exécutables et les horodatages de la dernière exécution.HKLM\SYSTEM\CurrentControlSet\Services\bam\State\UserSettings\{User_SID}\

    • RecentDocs : Les clés sous piste ouvrent récemment des fichiers (souvent liés à ).HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs shell:recent

    • Assistance utilisateur : Les touches sous piste GUI lancent des programmes (données codées ROT-13).HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\

    • OpenSavePidlMRU : Les clés sous les fichiers de piste s’ouvraient/sauvegardaient via des dialogues courants.HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU\

    • AppCompatFlags (magasin PCA) : Les clés comme Under peuvent être débarrassées.Store HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\

  • Pourquoi les tricheurs l’utilisent : Supprimer des traces spécifiques d’exécution de programme (BAM, UserAssist) ou des fichiers récemment consultés (RecentDocs, OpenSave MRU) qui pourraient indiquer une utilisation de triche ou des fichiers de configuration associés.

  • Détection:

    • Explorateur de registre (clés/valeurs supprimées) : C’est souvent la méthode la plus efficace. Les visualiseurs de registres médico-légaux comme Registry Explorer peuvent fréquemment identifier et surligner visuellement des clés ou des valeurs qui ont été supprimées mais dont l’espace dans le fichier ruche n’a pas encore été complètement écrasé. Trouver des entrées supprimées marquées d’icônes spécifiques (comme l’avertissement rouge entouré pour BAM) dans ces ruches pertinentes, surtout si la suppression semble récente par rapport au démarrage système actuel, est une preuve forte de falsification.

    • Journaux d’exécution : Cherchez les exécutions récentes de ou dans le préfetch, le BAM ou l’historique des commandes (si disponible) autour du partage d’écran. Cela indique une interaction manuelle du Registre qui justifie une enquête sur ce qui a potentiellement été approuvé.regedit.exe reg.exe

    • Touches/valeurs manquantes : Bien que moins définitif, observer que les clés normalement remplies (comme UserAssist ou BAM pour un utilisateur qui utilise clairement le système) sont complètement vides peut sembler suspect, bien que cela puisse aussi résulter de configurations spécifiques du système ou de problèmes de profil.

    • Timestamps: L’Explorateur du registre affiche le « Dernier temps d’écriture » pour les clés. Un Last Write Time très récent sur une clé parent (comme pour BAM) peut indiquer des modifications récentes (y compris des suppressions) à son intérieur.UserSettings

PrécédentNettoyage de prélectureSuivantDéfrichement du journal de l’USN

Mis à jour