☛ Registry Hive Files
Un peu d'histoire... pourquoi une Ruche ( Hive ) ?
À ne surtout pas confondre avec les exports ( les .reg )
Définition officielle: A hive is a logical group of keys, subkeys, and values in the
registry that has a set of supporting files containing backups of its data.
Tableau des correspondances:
The permanent parts of the registry are stored as a set of files (called hives)
that should never be directly edited. You can also find a list of locations for these
hives in the hivelist entry in HKLM\SYSTEM\CurrentControlSet\Control. The following
hives, which store four of the five registry keys in HKEY_LOCAL_MACHINE, are
permanently saved (and updated with each logon) in %SYSTEMROOT%\System32\config\
→ DEFAULT ( Contains the default system information. )
→ SAM ( Contains information about the Security Accounts Manager service which is stored in the SAM key. )
→ SECURITY ( Contains the security information stored in the SECURITY key. )
→ SOFTWARE (( Contains information about your software configuration which is stored in the SOFTWARE key. )
→ SYSTEM ( Contains information about your system configuration which is stored in the SYSTEM key. )
Pour lister les ruches actuellement utilisées:
reg QUERY HKLM\SYSTEM\CurrentControlSet\Control\hivelist
Si vous vous demandez pourquoi HARDWARE n'a pas de correspondance:
→ This key is not stored as a hive because it's recreated each time the system starts.
Exports des fichiers de ruche via FTK Imager Lite
Les informations concernant l'utilisateur en cours de session sont dans les fichiers de ruche "NTUSER.DAT" & "USRCLASS.DAT" situés dans "%USERPROFILE%" & %ALLUSERSPROFILE% et vous en avez également pour les autres utilisateurs ainsi que dans "Default User", "LocalService", "NetworkService", ...
Pour illustrer mon précédent article sur l'importance des ACEs
Ces fichiers collectés regorgent d'informations.
Il est interessant de souligner que même des valeurs effacées ou orphelines ( en vulgarisé, qui n'ont plus de références ) sont encore lisibles. L'exploitation des valeurs de ces cellules ( descripteurs, horodatages, ... ) permet de retracer précisément les différentes activités. Pour ma part, j'inclus ces éléments dans des banques de données auxiliaires. Je pourrai générer ultérieurement des vues matérialisées en fonction de critères souhaités. Exemple, l'historique complet de la machine W pour la période de X à Y, jour de l'incident Z. Dans le cas que j'étudie en rédigeant cet article, ça me permet de déterminer le vecteur de la compromission : une clé USB. Comme chaque périphérique connecté va systématiquement "mémoriser" ses caractéristiques uniques, hm.. ça va chauffer pour l'inconscient qui a branché sa clé personnelle infectée.
Acquérir les bases nécessaires avant de manipuler est primordial.
Si vous pensiez avoir fait le tour de la base de registre, c'est raté :þ