-= Formation de base : Base de Registres et Dos =-

[Invité tesgaz]

Salut à tous,

 

de part notre forum,

 

il est important d'éduqué tout les membres à la sécurité de leur pc, je rejoins les propos d'ipl sur le sujet

 

il est plus facile de choper de virus que de vouloir apprendre,

ceux qui veulent rester ignare dans ce domaine, c'est leurs problèmes

 

moi je suis comptant d'avoir trouvé des alliés qui de jours en jours aident et dépannent des pc infectés (stonangel, charles-ingals, megataupe, etc...)

 

je suis comptant de trouver des "angelique, jibi049" ,etc qui n'ont plus de soucis avec leur pc, ce qui n'était pas le cas à leur arrivée sur le forum, et qui maintenant eux aussi donnent des conseils ....

 

 

vala,

Modifié le 31 juillet 2005 par tesgaz

[O.Fournier]

Bonjour Olivier,

 

"..."

 

Si je me trompe, insiste !

Passe une excellente journée !

544325[/snapback]

 

Re salut,

 

pas la peine encore, ou alors ce sera par mail quand j'aurais quelques certitudes.

 

Tu as une équipe formidable ici, c'est l'essentiel pour l'instant !

 

Total soutien de ma part, et souvent ça ne se voit pas ...

[ipl_001]

Bonjour à tous,

 

J'ai, en ce moment, des soucis avec les balises qui font que mes citations ont disparu (balises Quote)... je vais tenter d'arranger çà !

 

Si vous avez des précisions à demander, je suis à votre disposition !

 

... suite du texte relatif à la base de registres...

(coupure temporaire pour "étudier" mon problème avec les balises Quote)

 

-5- RegKey, standard Windows

RegKey utilise la commande Dos RegEdit et l'opérateur /e.

Regedit [options] [filename] [regpath]

- [filename] (nom du fichier .reg)

- option /e [filename] [regpath] (exporte registre dans filename à partir de regpath eg regedit /e file.reg HKEY_USERS\.DEFAULT)

Recherche de tout ce qui est attaché à une clé déterminée.

 

-51- je veux connaître ce qui se trouve dans Winlogon\Notify, endroit où se cachent des malwares particulièrement coriaces, je constitue le fichier personnalisé RegKey.bat, je zippe et j'uploade :

RegEdit /e RegKey.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify"

Notepad RegKey.txt

-52- une variante : Je veux vérifier les restrictions :

- Démarer / Exécuter / copie-colle la ligne suivante

 

regedit /e C:\RegKey.txt "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer"

 

- clique sur OK

- double-clique sur C:\RegKey.txt et poste le contenu.

-53- variante : Bien sûr, je peux enchaîner plusieurs recherches dans le même fichier (en prenant garde d'utiliser un fichier intermédiaire) !

(création du fichier .bat)

- ouvrir le bloc-notes et copier-coller les lignes ci-dessous -sans les tirets-

-----

regedit /e C:\RegKey.txt "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main"

regedit /e C:\RegKey2.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main"

copy C:\RegKey.txt+C:\RegKey2.txt C:\RegKey.txt

Del C:\RegKey2.txt

Notepad C:\RegKey.txt

----- (5 lignes)

- Fichier / Enregistrer sous

--- Enregistrer dans : Bureau

--- Nom du fichier : RegFix-gM.bat

--- Type : tous les fichiers

--- cliquer sur Enregistrer

- quitter Notepad

 

(utilisation du fichier)

- double-cliquer sur le fichier RegFix-gM.bat (Bureau)

- poster le contenu du fichier C:\RegKey.txt

- supprimer le fichier C:\RegKey.txt

 

-6- Go to reg key de flrman1

Ouverture de RegEdit sur une clé de registre spécifiée. Un fichier VBS de 697 octets ! Simple et net !!!

Je veux voir le contenu de la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run :

Télécharge go to reg key.zip de flrman1 -> http://forums.techguy.org/t342633.html

Dézippe le sur le bureau et double-clique sur go to reg key.vbs

(si tu as une protection, enlève la s'il te plaît)

Dans la boîte de dialogue qui s'ouvre, copie-colle :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Clique sur 'OK'

RegEdit s'ouvre exactement sur la clé recherchée ! EasyPeasy pour un novice, non ?

 

 

 

Fichiers .INF et .VBS

Nous avons manipulé des fichiers .REG pour mettre à jour la base de registres.

Il existe d'autres fichiers utilisés pour ce faire :

- des fichiers .INF très compacts : voici l'exemple du fichier FixSwen.inf de réparation des dégâts commis par le malware Swen et ses descendants (celui qui démolit les associations .EXE .COM .BAT .REG etc) avec .REG non utilisable !!!

Voici son contenu :

[Version]

Signature="$CHICAGO$"

 

[DefaultInstall]

AddReg=FixSwen

DelReg=EnableRegTools

 

[FixSwen]

HKCR, "batfile\shell\open\command",,0,"""%1"" %*"

HKCR, "comfile\shell\open\command",,0,"""%1"" %*"

HKCR, "exefile\shell\open\command",,0,"""%1"" %*"

HKCR, "piffile\shell\open\command",,0,"""%1"" %*"

HKCR, "regfile\shell\open\command",,0,"regedit.exe "%1""

HKCR, "scrfile\shell\open\command",,0,"""%1"" %*"

HKCR, "scrfile\shell\config\command",,0,"""%1"" %*"

 

[EnableRegTools]

HKCU, "software\microsoft\windows\currentversion\policies\system","DisableRegistryTools"

(source : http://download.nai.com/products/mcafee-avert/Fixswen.inf )

- des fichiers .VBS ; il s'agit en fait d'un vrai language de programmation abordable par ceux qui ont touché à la programmation !

 

 

 

Fichiers de restauration de parties de la BdR

Les spécialistes ont décortiqué la base de registres pour en extraire les clés par grandes fonctions Windows et ont créé des fichiers permettant de les rétablir en cas de dysfonctionnement.

Exemples :

- DelDomains.inf de Mike Burgess ( http://www.mvps.org/winhelp2002/DelDomains.inf )

- RestoreReg.vbs de Jean-Claude Bellamy ( http://www.bellamyjc.net/download/vbs/restorereg.vbs )

- VirusBdrRepair.vbs de Jean-Marc Fayet ( http://snooky730.free.fr/VirusBdRRepair.vbs )

- IEfix.reg ( http://www.spywareinfo.com/downloads/tools/IEFIX.reg )

 

Ces fichiers sont innombrables et les mines sont sur les sites :

- Doug Knox -> http://www.dougknox.com/security/

- Jean-Claude Bellamy -> http://www.bellamyjc.net/vbscripts.html

- Jean-Marc Fayet -> http://perso.wanadoo.fr/doc.jm/

- Bill James -> http://www.billsway.com/vbspage/

- Kelly Theriot -> http://www.kellys-korner-xp.com/xp_tweaks.htm

[angelique]

<<je suis comptant de trouver des "angelique, jibi049" ,etc qui n'ont plus de soucis avec leur pc, ce qui n'était pas le cas à leur arrivée sur le forum, et qui maintenant eux aussi donnent des conseils >>

 

c'est avec grd interet que je suis quotidiennement ce forum.

Ma simple envie d'apprendre m'a rapidement fait évoluer,la motivation fut le catalyseur de mon enrichissement de connaissances.

Il est bon de poser les bonnes questions afin de trouver les bonnes réponses ,

d'écouter les "sages",je me permettrais de citer tesgaz,ipl,mégataupe et stonangel pour leur "sécurité",yann pour son excellent forum,kewlcat,jman(mon inititeur au mirc ),je dois en oublier mais un humble merci à tous pour leur participation ,leurs conseils.

C'est desormais avec grd plaisir que j'essaie d'aider au plus juste les "newbee" de l'info(meme si parfois il m'arrive de mal lire,hein!!jean moi ),de leur apporter qlqs idées,qui ne sont pas forcément des solutions mais des pistes de résolutions complétés par nous tous.

Ensemble,nous arriverons certainement à "lutter" contre toutes ces misères informatiques,continuons!!!!notre prochain a besoin de nous .

LONGUE VIE A ZEBULON!!!

[ipl_001]

Bonsoir angelique,

 

Je rejoins tesgaz pour te dire que je suis très content de ta participation à notre forum Sécurité !

 

Il ne faut pas qu'on se laisse feinter par ces pirates qui empoisonnent le monde de l'Internet :

- les novices qui ne se méfient même pas et se laissent infecter, leur ordinateur devenant une plate-forme utilisée pour mener d'autres attaques

- les internautes conscients mais négligeants qui se contentent de reformater lorsqu'ils ne parviennent plus à jouer (ou autre) mais participent aux infections, entre temps !

- les internautes qui ne savent pas se protéger et sont bien perdus !

 

Il nous faut tous participer pour faire progresser le niveau de connaissance des internautes !

Il nous faut rattrapper le niveau des internautes des pays de l'Europe du Nord qui sont capables, eux, de créer des programmes, des méthodes...

 

L'équipe de Zeb'Sécurité est sur la bonne voie avec beaucoup de très bons éléments !

 

Merci à toi qui en fait pleinement partie, angelique !

[ipl_001]

Rebonjour à tous,

 

J'ajoute un dernier paragraphe au chapitre "Base de registres" de manière à mieux illustrer les choses...

 

 

 

Exemple illustré de nettoyage de la BdR

( http://forum.zebulon.fr/index.php?showtopic=71434&st=0 )

Jubey a des dysfonctionnements dans son système et a pu repérer le fautif : winIK.sys !

 

Le pré-nettoyage en mode sans échec (suppr. fichiers Temp, AntiVir) suivi de l'analyse du rapport HijackThis ne résolvent pas le problème malgré l'élimination, entre autres, de CommonName.

 

Retour aux fondamentaux (comme dit l'entraîneur de tennis de mon fils) :

- recherche et élimination de winIK dans la base de registres

- recherche et élimination de winIK et (dossier apparenté) sur le disque

 

Recherche de winIK dans la base de registres

Télécharge RegSrch.zip de Bill James -> http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Dézippe sur le bureau et double-clique sur regsrch.vbs

(si tu as une protection, enlève la s'il te plaît)

Dans la boîte de dialogue qui s'ouvre, entre :

winIK

Clique sur 'OK'

Tu recevras un message disant que la recherche est terminée, clique sur 'OK'

Enregistre le contenu de la fenêtre Wordpad sur le disque pour le mettre dans ton prochain post.

 

Résultat de la recherche

REGEDIT4

; RegSrch.vbs © Bill James

 

; Registry search results for string "winik" 28/07/2005 20:28:06

 

; NOTE: This file will be deleted when you close WordPad.

; You must manually save this file to a new location if you want to refer to it again later.

; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]

"Service"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]

"DeviceDesc"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]

"ActiveService"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

"DisplayName"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Enum]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Enum]

"0"="Root\\LEGACY_WINIK\\0000"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]

"Service"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]

"DeviceDesc"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

"DisplayName"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]

"Service"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]

"DeviceDesc"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]

"ActiveService"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

"DisplayName"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]

"0"="Root\\LEGACY_WINIK\\0000"

 

[HKEY_USERS\S-1-5-21-3634374741-3681855003-3820325642-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]

"h"="C:\\WINDOWS\\system32\\drivers\\winik.sys"

 

[HKEY_USERS\S-1-5-21-3634374741-3681855003-3820325642-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]

"a"="C:\\WINDOWS\\system32\\drivers\\winik.sys"

 

Création du fichier .REG de nettoyage de la BdR

Remarques préliminaires :

- la suppression d'une clé se fait par une ligne sur le modèle de

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK]

(signe "-" (moins) après le crochet ouvrant)

- la suppression d'un clé correspond à la suppression des sous-clés et valeurs associées

Il est donc inutile de s'occuper de ce qui est à l'intérieur de

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK

Ainsi, les lignes seront traitées par la même suppression :

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]

"Service"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]

"DeviceDesc"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]

"ActiveService"="WinIK"

 

D'où le fichier post de création et d'utilisation du fichier .REG :

(création du fichier .reg)

- ouvrir le bloc-notes et copier-coller les lignes ci-dessous -sans les tirets-

-----

Windows Registry Editor Version 5.00

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

 

[HKEY_USERS\S-1-5-21-3634374741-3681855003-3820325642-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]

"h"=-

 

[HKEY_USERS\S-1-5-21-3634374741-3681855003-3820325642-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]

"a"=-

 

----- (20 lignes)

- Fichier / Enregistrer sous

--- Enregistrer dans : Bureau

--- Nom du fichier : RegFix-gM.reg

--- Type : tous les fichiers

--- cliquer sur Enregistrer

- quitter Notepad

-

(utilisation du fichier)

- double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée.

 

 

 

J'espère que ce dernier exemple a permis de bien illustrer la démarche.

[megataupe]

Avec toutes ces forces vives, je pense que tu tiens là IPL une excellente équipe qui ne demande qu'à progresser à la lumière de tes remarquables exposés comme celui sur la BDR. A ce propos, pourrais-tu nous expliquer comment un mafieux (spyware ou trojan) quelconque pourrait s'installer dans la base de registres si celle-ci est protégée par RegistryProt et ProcessGuard par exemple (ça m'intéresse pour tester à fond ces deux ange-gardien ) ?

[ipl_001]

LOL

 

Tu me casses le moral, megataupe !

 

Une base de registres protégée par RegistryProt et ProcessGuard est-elle infectable ???

[megataupe]

Désolé de te saper le moral IPL . A vrai dire, je ne pense pas que la BDR puisse être touchée car, PG protége également RegistryProt des tentatives de modification/termination ou lecture. Ceci dit, le plus délicat est de paramétrer PG pour éviter toute erreur humaine dans les droits à accorder à telle ou telle application (seule Rundll32 pose un réel casse tête -merci Billou-) mais, j'y travaille chef .

[ipl_001]

Farceur !