Comment extraire fichiers de paramètres de base de registre?

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Comment extraire fichiers de paramètres de base de registre?

Message par ѠOOT » 16 avr. 2014 06:48

Dans cet article, j'utilise une machine virtualisée (VM) sur laquelle j'ai monté l'image d'un Windows compromis. Je m'apprête à récupérer les fichiers de paramètres de base de registre sur l'image montée.

Image

Registry Hive Files

Un peu d'histoire... pourquoi une Ruche ( Hive ) ?

Image

À ne surtout pas confondre avec les exports ( les .reg )

Définition officielle: A hive is a logical group of keys, subkeys, and values in the
registry that has a set of supporting files containing backups of its data.


Tableau des correspondances:
Image

The permanent parts of the registry are stored as a set of files (called hives)
that should never be directly edited. You can also find a list of locations for these
hives in the hivelist entry in HKLM\SYSTEM\CurrentControlSet\Control. The following
hives, which store four of the five registry keys in HKEY_LOCAL_MACHINE, are
permanently saved (and updated with each logon) in %SYSTEMROOT%\System32\config\

DEFAULT ( Contains the default system information. )
SAM ( Contains information about the Security Accounts Manager service which is stored in the SAM key. )
SECURITY ( Contains the security information stored in the SECURITY key. )
SOFTWARE (( Contains information about your software configuration which is stored in the SOFTWARE key. )
SYSTEM ( Contains information about your system configuration which is stored in the SYSTEM key. )

Pour lister les ruches actuellement utilisées:
reg QUERY HKLM\SYSTEM\CurrentControlSet\Control\hivelist

Si vous vous demandez pourquoi HARDWARE n'a pas de correspondance:
→ This key is not stored as a hive because it's recreated each time the system starts.

Exports des fichiers de ruche via FTK Imager Lite
Image

Les informations concernant l'utilisateur en cours de session sont dans les fichiers de ruche "NTUSER.DAT" & "USRCLASS.DAT" situés dans "%USERPROFILE%" & %ALLUSERSPROFILE% et vous en avez également pour les autres utilisateurs ainsi que dans "Default User", "LocalService", "NetworkService", ...

Pour illustrer mon précédent article sur l'importance des ACEs
Image

Ces fichiers collectés regorgent d'informations.
Image

Il est interessant de souligner que même des valeurs effacées ou orphelines ( en vulgarisé, qui n'ont plus de références ) sont encore lisibles. L'exploitation des valeurs de ces cellules ( descripteurs, horodatages, ... ) permet de retracer précisément les différentes activités. Pour ma part, j'inclus ces éléments dans des banques de données auxiliaires. Je pourrai générer ultérieurement des vues matérialisées en fonction de critères souhaités. Exemple, l'historique complet de la machine W pour la période de X à Y, jour de l'incident Z. Dans le cas que j'étudie en rédigeant cet article, ça me permet de déterminer le vecteur de la compromission : une clé USB. Comme chaque périphérique connecté va systématiquement "mémoriser" ses caractéristiques uniques, hm.. ça va chauffer pour l'inconscient qui a branché sa clé personnelle infectée.

Acquérir les bases nécessaires avant de manipuler est primordial.
Si vous pensiez avoir fait le tour de la base de registre, c'est raté :þ


‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Malekal_morte
Site Admin
Site Admin
Messages : 95718
Inscription : 10 sept. 2005 13:57
Contact :

Re: Comment extraire fichiers de paramètres de base de regis

Message par Malekal_morte » 17 avr. 2014 08:24

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Re: Comment extraire fichiers de paramètres de base de regis

Message par ѠOOT » 17 avr. 2014 20:37

Bonjour,

J'allais aborder les relations avec les restaurations système - tu me prends de court - je vais donc passer ce chapitre et vous proposer directement de quoi faire la jointure avec l'usage d'un utilitaire largement utilisé par les forces de polices asiatiques et développé par la crème des agences coréennes, DFRC. Vos solutions de sécurité peuvent s'affoler en présence de cet outil car son utilisation est parfois détournée. J'ai en effet déjà analysé des codes malveillants qui siphonnent, compressent et chiffrent ces ruches via ce type d'utilitaires. Avec quelques Mo exfiltrés, les attaquants obtiennent quantités de renseignements stratégiques ainsi que bon nombre de secrets.

L'utilitaire va collecter les fichiers de ruches sur une machine sous tension et en cours de session.

Les options sont simples:
-h : permet de collecter les fichiers de ruches (SAM, SECURITY, SOFTWARE, SYSTEM, NTUSER.DAT...)
-r : permet de collecter les fichiers de ruches depuis les points de restauration.


En ligne de commande, avec l'option choisie et le répertoire où seront stockés les fichiers:
RegEx -h NOIPSE

Ou simplement avec REG de Windows:
→ REG SAVE HKLM\System System.hive ( Administrateur )
→ REG SAVE HKLM\SAM SAM.hive ( Administrateur )
→ REG SAVE HKLM\SECURITY SECURITY.hive ( AUTORITE NT (SYSTEM) )

♛ Simple, rapide, efficace.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Répondre

Revenir vers « Tech, Tips & Tricks »