|
Base de Registres / Registry
|
This page is written in French; if you're interested in it and wish my translating into English, do ask me!
|
Traces :
Traces de virus et tricks
(les altérations de la Registry par les virus sont intéressantes par ce que, outre le moyen de désinfecter, elles nous montrent le fonctionnement "intime" du système) :
-xxx Remove Content Advisor Password in IE
---Généralités---
(2 fichiers : System.dat & User.dat dans le dossier C:\Windows ou C:\WinNT, dans le dossier %SystemRoot%\System32\Config pour W2K ; Win-ME comprend un troisième fichier : Classes.dat)
(6 entrées)
HKEY_CLASSES_ROOT Héritière du REG.DAT de Win 3.x, cette clé contient les informations concernant :
- le DDE et l'OLE,
- les extensions et associations de fichiers,
- les raccourcis Windows 95 (ils reposent sur les mécanismes de liaison et l'incorporation d'objets),
- le nom de tous les pilotes,
- certains aspects de l'interface.
Cette entrée ne contient, en fait, aucune donnée mais un pointeur vers 2 parties de HKLM ; la modification de l'une des "2 entrées" est donc suffisante :
- HKLM\Software\Classes,
- HKCU\Software\Classes.
HKEY_CURRENT_USER Cette clé pointe sur une branche de HKEY_USERS pour l'utilisateur qui a ouvert une session.
Cette entrée ne contient, en fait, aucune donnée mais un pointeur vers HKU\SID (Security ID) ; la modification de l'une des "2 entrées" est donc suffisante !
- nom de logon,
- paramètres du bureau,
- paramètres du menu Démarrer.
HKEY_LOCAL_MACHINE Celle-ci contient les informations spécifiques au PC :
- type de matériel,
- logiciels installés,
- toutes les informations utilisées par chaque utilisateur de ce micro-ordinateur.
HKEY_USERS Elle contient au moins 3 sortes d'informations sur les divers utilisateurs qui ouvrent une session sur cet ordinateur :
- .DEFAULT -informations génériques pour tous les utilisateurs,
Pour les systèmes sans profil, HKCU contient la même chose que HKU\.DEFAULT (en fait, HKCU pointe sur HKU\.DEFAULT)
Pour les systèmes avec profils, et en particulier pour NT, 2000 et XP, HKU contient une série de clés pour chacune de ID définies et HKCU pointe sur l'une de ces séries
en particulier, .DEFAULT définit les paramètres avant toute identification -avant entrée de l'ID et password Windows-, par exemple, la langue ou les leds du clavier.
- SID -informations spécifiques dans des sous-clés pour chaque utilisateur,
- SID avec suffixe _CLASSES -informations spécifiques dans des sous-clés pour chaque utilisateur.
HKEY_CURRENT_CONFIG Elle porte sur une section de la branche HKEY_LOCAL_MACHINE\CONFIG contenant les informations sur le profil matériel en cours d'utilisation.
Cette entrée ne contient, en fait, aucune donnée mais un pointeur vers HKLM\System\CurrentControlSet\Hardware Profile !
HKEY_DYN_DATA Les informations de HKDD ne sont pas inscrites dans la registry ; comme le nom l'indique, il s'agit d'informations dynamiques re-générées au démarrage de l'ordinateur en fonction du matériel pluggé -matériel PnP- et des données de HKEY_LOCAL_MACHINE.
3 clés :
- Config Manager,
- PerfStats,
- Security.
(5+7 types)
REG_BINARY Donnée binaire brute
REG_DWORD nombre sur 4 octets utilisé pour les valeurs Booléennes, comme 0=invalide, 1=valide
REG_EXPAND_SZ Donnée chaîne avec variable comme %SystemRoot% (éditable par RegEdt32)
REG_MULTI_SZ Donnée chaîne multiple avec séparateur espace (éditable par RegEdt32)
REG_SZ Donnée chaîne standard
Autres types non éditables par RegEdit ou RegEdt32 :
REG_DWORD_LITTLE_ENDIAN REG_DWORD_BIG_ENDIAN REG_LINK REG_NONE REG_QWORD REG_QWORD_LITTLE_ENDIAN REG_RESOURCE_LIST
---Fichiers .REG---
Les fichiers .REG sont des fichiers ASCII contenant des éléments de la base de registre.
Ils peuvent être obtenus par la fonction Registre/Exporter un fichier du Registre... ; ils servent ainsi de sauvegarde ou de fichier d'échange lorsqu'ils sont repris dans une autre base de registre. L'exportation peut concerner la totalité de la base ou quelques branches spécifiques.
Les fichiers .REG peuvent aussi être créés à partir d'un simple éditeur de texte (Notepad.exe par exemple)
La mise à jour de la base par un fichier .REG est obtenue par clic droit/Fusionner ; en standard, Fusionner est l'option par défaut, celle qui est lancée par un double clic, mais il est vivement conseillé de modifier cela pour éviter qu'un double clic sur fichier inconnu (c'est si vite fait) n'aille modifier cette Registry si précieuse !
La mise à jour peut aussi être réalisée, bien sûr, par la fonction Registre/Importer un fichier du Registre...
Fichier .REG
La structure d'un fichier .REG est la suivante (exemple de mise à jour de la page de démarrage d'Internet Explorer) :
- REGEDIT4 (il s'agit d'une en-tête indiquant la nature du fichier)
- (ligne blanche obligatoire)
. modification d'une donnée : on indique la clé entre crochets sur une première ligne puis la valeur entre guillemets (si chaine), le signe "égale" suivi de la donnée entre guillemets (si chaine) dans une deuxième ligne ; enfin, une ligne vierge :
- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] (la clé à modifier)
- "SetupType"=dword:00000000 (ici factice ; la valeur à modifier et la donnée à affecter).
- "Start Page"="http://www.boursorama.com" (la valeur à modifier et la donnée à affecter).
- "SystemPrefix"=hex:c5,0b,00,00,00,40,36,02 (ici factice ; la valeur à modifier et la donnée à affecter).
- (ligne blanche obligatoire)
. création d'une clé/valeur - c'est la même chose que pour la modification : si la clé/valeur n'existe pas, elle est créée.
. suppression d'une clé - il faut coder comme suit :
- (toujours la ligne REGEDIT4 suivie d'une ligne vide)
- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] (la clé
sera supprimée)
- (ligne blanche obligatoire)
. suppression d'une valeur - il faut coder comme suit :
- (toujours la ligne REGEDIT4 suivie d'une ligne vide)
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] (la clé)
- "AutoConfigURL"=- (la valeur sera supprimée).
- (ligne blanche obligatoire)
(Cette suppression désactivera la case "Utiliser un script de configuration automatique").
Paramètres de la ligne de commande Regedit :
Regedit [options] [filename] [regpath]
- [filename] (fichier .reg à importer)
- /s [filename] (importation silencieuse -sans intervention opérateur- eg regedit /s myfile.reg)
- /e [filename] [regpath] (exporte registre dans filename à partir de regpath eg regedit /e file.reg HKEY_USERS\.DEFAULT)
- /l:system (précise le system.dat utilisé)
- /r:user (précise le user.dat utilisé eg regedit l:a:\system.dat r:a:\user.dat /e C:\Windows\newreg.reg)
- /c [filename] (création -Ws98- eg regedit l:a:\system.dat r:a:\user.dat /c C:\Windows\newreg.reg)
- /d [regpath] (Supprime la clé spécifiée -Ws98/ME- eg regedit /d HKEY_LOCAL_MACHINE\Software\McAfee)
---Liens Registry---
Bases de connaissances sur la Registry
-> REGENTRY.chm (1 382 527 octets) (REGENTRY.txt) -W2K Resource Kit-
-> W2RKTOOL.chm (1 074 383 octets) (W2RKTOOL.txt) -W2K Resource Kit-
-> Windows Registry Guide 2003 US RegGuide -WinGuides.com
-> Windows Registry Guide 2003 Fr registry -Philippe Curtil registry -Philippe Curtil
-> WINREG.hlp (305 975 octets) (WINREG.txt) Shrishail Rana
---Nettoyage Registry---
Test de nettoyeurs ->
The Ultimate Registry Cleaner Test
Discussions ->
Zebulon, CCM -101160, CCM -281192
Utilitaires -> WinGuides
---Liens INF---
Tutos INF
Les fichiers Install.inf/Autorun.inf
Utilitaires -> WillyPad 2.92
Pour exécuter les fichiers INF automatiquement depuis un batch, il faut lancer la commande suivante :
RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultInstall 132 C:/WINDOWS/INF/SHELL.INF
Ceci exécutera le paragraphe [Install].
La valeur 132 peut varier suivant les règles suivantes :
128 Le chemin de l'installation est le chemin du fichier INF.
+0 Ne jamais redémarrer le PC.
+1 Toujours redémarrer le PC.
+2 Toujours demander avant de redémarrer le PC.
+3 Redémarre le PC si nécessaire sans demander.
+4 Si un redémarrage est nécessaire, demander avant de redémarrer le PC.
Registry -Shell Folders
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
(adresse dossiers système : AppData, Cache, Cookies, Desktop, Favorites, Fonts, History, Local AppData, NetHood, Personal, PrintHood, Programs, Recent, SendTo, Start Menu, Startup & Templates)
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
(adresse dossiers système utilisateurs : Cache, Favorites & Personal)
- HKLM\Software\Microsoft\Windows\CurrentVersion
- HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell Folders
(adresse dossiers système : Common AppData, Common Desktop & Common Startup)
- HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\User Shell Folders
(adresse dossiers système utilisateurs : Favorites & Personal)
- HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
(adresse dossiers système : AppData, Cache, Cookies, Desktop, Favorites, Fonts, History, Local AppData, NetHood, Personal, PrintHood, Programs, Recent, SendTo, Start Menu, Startup & Templates)
- HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
(adresse dossiers système utilisateurs : Cache, Favorites & Personal)
Registry -Explorer (Windows & Internet)
Windows Explorer
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer et notamment :
clé Doc Find Spec MRU -> (find)
clé MenuOrder\Favorites -> liste des dossiers favoris
clé MenuOrder\Start Menu\&Programs -> menu Démarrer\Programmes
clé RunMRU -> liste de Démarrer/Exécuter
clé Shell Folders -> adresse dossiers système
clé User Shell Folders -> adresse dossiers système utilisateurs
- HKLM\Software\Microsoft\Windows\CurrentVersion\explorer et notamment :
clé AlwaysUnloadDLL
clé MyComputer\CleanupPath
clé Shell Folders -> adresse dossiers système
clé User Shell Folders -> adresse dossiers système utilisateurs
clé VolumeCaches
clé WindowsUpdate -> le programme d'update
- HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer et notamment :
clé Doc Find Spec MRU -> (find)
clé MenuOrder\Favorites -> liste des dossiers favoris
clé MenuOrder\Start Menu\&Programs -> menu Démarrer\Programmes
clé RunMRU -> liste de Démarrer/Exécuter
clé Shell Folders -> adresse dossiers système
clé User Shell Folders -> adresse dossiers système utilisateurs
Internet Explorer
- HKCU\Software\Microsoft\Internet Explorer et notamment :
clé Main -> FullScreen, Search Page, Start Page, Window Title
clé TypedURLs -> liste des URL tapées
- HKLM\Software\Microsoft\Internet Explorer et notamment :
clé AboutURLs -> adresse des pages d'erreurs
clé Main -> FullScreen, Search Bar, Search Page, Start Page, Wizard_Version
clé Registration -> Valeur ProductID
clé Search -> liste des moteurs de recherches
- HKLM\Software\Microsoft\Shared Tools\MSInfo\Categories\InternetExplorer5
- HKU\.DEFAULT\Software\Microsoft\Internet Explorer et notamment :
clé Main -> FullScreen, Search Page, Start Page, Window Title
clé TypedURLs -> liste des URL tapées
Registry -Series (CLSID & Keys)
CLSID
- HKCR\CLSID
- HKCU\Software\Classes et notamment Voisinage Réseau, Poste de travail
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID
- HKLM\Software\Microsoft\Windows\CurrentVersion\Shellextensions\Approved
- HKLM\Software\Microsoft\Active Setup\ et notamment ClsidFeature, FeatureComponentID, Installed Components & MimeFeature
Keys
- HKCU\Software\Microsoft\Advanced INF Setup\IE User Data\RegBackup\0.map
- HKCU\Software\Microsoft\Windows\CurrentVersion\Profile Reconciliation\ et notamment AppData, Cookies & History
- HKU\.DEFAULT\Software\Microsoft\Advanced INF Setup\IE User Data\RegBackup\0.map
- HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Profile Reconciliation\ et notamment AppData, Cookies & History
Registry -listes MRU
- HKCU\Identities\{...}Software\Microsoft\Outlook Express\5.0\Rules\Filters\MRU List
- HKCU\InstallLocationMRU (liste installation)
- HKCU\Software\Microsoft\Internet Explorer\International\CpMRU
- HKCU\Software\Microsoft\Office\8.0\Common\Open Find\Gestionnaire Microsoft Office\Settings\Ajouter un dossier\Any Text MRU
- HKCU\Software\Microsoft\WebPost\CrcMRU
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU (Find)
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PrnPortsMRU
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU (Démarrer/Exécuter)
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU
- HKCU\Software\ORL\VNCviewerMRU (IP VNC)
- HKU\.DEFAULT\Identities\{...}Software\Microsoft\Outlook Express\5.0\Rules\Filters\MRU List
- HKU\.DEFAULT\InstallLocationMRU (liste installation)
- HKU\.DEFAULT\Software\Microsoft\Internet Explorer\International\CpMRU
- HKU\.DEFAULT\Software\Microsoft\Office\8.0\Common\Open Find\Gestionnaire Microsoft Office\Settings\Ajouter un dossier\Any Text MRU
- HKU\.DEFAULT\Software\Microsoft\WebPost\CrcMRU
- HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU (Find)
- HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\PrnPortsMRU
- HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU (Démarrer/Exécuter)
- HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU
- HKU\.DEFAULT\Software\ORL\VNCviewerMRU (IP VNC)
Registry -listes URL
- HKCU\Software\Microsoft\Internet Explorer\TypedURLs (URL de la liste déroulante d'IE)
- HKLM\Software\Microsoft\Internet Explorer\AboutURLs (URL erreurs)
- HKLM\Software\Microsoft\Internet Explorer\Help_Menu_URLs (IE Update)
- HKLM\Software\Microsoft\Internet Explorer\Main\UrlTemplate
- HKU\.DEFAULT\Software\Microsoft\Internet Explorer\TypedURLs (URL de la liste déroulante d'IE)
Registry -Protected Storage System Provider
- HKLM\Software\Microsoft\Protected Storage System Provider (Connexions et infos ISP)
Registry -autres listes (Recent)
- HKCU\Network\Recent (Dossiers réseau)
- HKCU\Software\Adaptec\Easy CD Creator\Recent FileList
- HKCU\Software\Creative Tech\WebCam PhotoEditor\Recent FileList
- HKCU\Software\Hyperionics\HyperSnap_DX v.4\HyperSnap_DX\Recent FileList
- HKCU\Software\Microsoft\MediaPlayer\Player\Recent FileList (Media Player)
- HKCU\Software\Microsoft\Office\8.0\Excel\Recent File List (Excel)
- HKCU\Software\Microsoft\Office\8.0\PowerPoint\Recent File List (Powerpoint)
- HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List (Paint)
- HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Recent File List (Wordpad)
- HKCU\Software\PixAround.com\PIXSCREEN\Recent File List (Pix Screen)
- HKCU\Software\Symantec\pcAnyware\CurrentVersion\AWREM32\Recent File List (PC-Anywhere)
- HKU\.DEFAULT\Network\Recent (Dossiers réseau)
- HKU\.DEFAULT\Software\Adaptec\Easy CD Creator\Recent FileList
- HKU\.DEFAULT\Software\Creative Tech\WebCam PhotoEditor\Recent FileList
- HKU\.DEFAULT\Software\Hyperionics\HyperSnap_DX v.4\HyperSnap_DX\Recent FileList
- HKU\.DEFAULT\Software\Microsoft\MediaPlayer\Player\Recent FileList (Media Player)
- HKU\.DEFAULT\Software\Microsoft\Office\8.0\Excel\Recent File List (Excel)
- HKU\.DEFAULT\Software\Microsoft\Office\8.0\PowerPoint\Recent File List (Powerpoint)
- HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List (Paint)
- HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Recent File List (Wordpad)
- HKU\.DEFAULT\Software\PixAround.com\PIXSCREEN\Recent File List (Pix Screen)
- HKU\.DEFAULT\Software\Symantec\pcAnyware\CurrentVersion\AWREM32\Recent File List (PC-Anywhere)
Registry -Propriétaire
- HKLM\Software\MicroSoft\Windows\CurrentVersion, valeur RegisteredOwner (Ws9x-ME)
- HKLM\Software\MicroSoft\Windows NT\CurrentVersion, valeur RegisteredOwner (W2K / XP)
Registry -Clé d'installation Windows 9x
- HKLM\Software\MicroSoft\Windows\CurrentVersion, valeur ProductKey
Registry -Chemin fichiers d'installation Windows
- HKLM\Software\MicroSoft\Windows\CurrentVersion\Setup, valeur SourcePath
(par exemple C:\Windows\Options\CABS)
Registry -infos Système
- HKLM\Software\MicroSoft\Windows\CurrentVersion (Ws9x-ME)... ou HKLM\Software\MicroSoft\Windows NT\CurrentVersion (W2K / XP)...
... toutes les valeurs et en particulier :
valeur DVD_Region
valeur ProductID, numéro d'identification de Windows
valeur ProductKey, clé saisie lors de l'install.
valeur ProductName, nom du système d'exploitation
valeur RegisteredOrganization, nom de la société
valeur RegisteredOwner, nom du propriétaire
valeur Version, nom de la version de Windows 9x
valeur VersionNumber, numéro de la version de Windows
valeur SubVersionNumber, lettre identifiant la version de Windows
Registry -mot de passe Windows
Pour obliger l'utilisateur à valider un mot de passe au lancement de Windows :
- HKLM\Network\Logon, créer la clé "MustBeValidated" et lui assigner la valeur 0x00000001 (1)
Précisions de Pierre Buisson : pour que la clé ajoutée soit efficace, il est indispensable que l'on ait créé au préalable un "profil utilisateur" par Démarrer, Paramètres, Panneau de configuration,Utilisateurs.
On peut ajouter cette clé en exécutant le fichier "Win9x_MustBeValidated.reg" de son site Web
(W2K)- Pour bannir les mots de passes trop explicites et imposer certaines règles :
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Network
Double cliquer sur la valeur AlphaNumPwds et saisir 1 pour obliger à incorporer lettres et chiffres.
Double cliquer sur la valeur MinPwdLen et spécifier le nombre de caractères minimum.
Registry -Installation d'un programme
Ajout-Suppression de programmes
- HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall... ajout de l'application en clé.
Liste des programmes
- HKLM\Software... ajout de l'application en clé.
- HKCU\Software... ajout de l'application en clé.
Enregistrement dans le menu Démarrer
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\StartMenu\&Programs... ajout de l'application en clé.
- HKLM\Software\Microsoft\Windows\CurrentVersion\AppPath... ajout de l'application en clé.
Enregistrement de l'extension et de l'association
- HKCR\... ajout de l'extension en clé... on y trouve le libellé
- HKCR\... ajout du libellé de l'extension en clé... on y trouve l'exécutable
- HKLM\Software\CLASSES\... ajout de l'extension en clé
- HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions... ajout de l'extension en clé.
+++Registry -Associations de fichiers
(exemple de fichiers .TXT dont le type est "Document texte" ; examinons la BdR, les Options des dossiers/Types de fichiers et le menu contextuel).
Dans la base de registres :
La clé HKCR\.txt contient les valeurs :
- '(Défaut)' avec sa donnée 'txtfile' (autre clé à examiner)
- 'Content Type' avec sa donnée 'text/plain'
En outre, la clé comporte les 2 sous-clés ShellEx et ShellNew.
- HKCR\.txt\ShellEx comporte la valeur (Défaut) et sa donnée '(valeur non définie)'
--- et une sous-clé HKCR\.txt\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1} avec la valeur (Défaut) et sa donnée '{EAB841A0-9550-11cf-8C16-00805F1408F3}'
- HKCR\.txt\ShellNew comporte la valeur (Défaut) et sa donnée '(valeur non définie)' et aussi la valeur NullFile et sa donnée ""
La clé HKCR\txtfile contient les valeurs :
- '(Défaut)' avec sa donnée 'Document texte'... et voila le libellé du type !
- 'EditFlags' avec sa donnée 00 00 00 00
En outre, la clé comporte les 3 sous-clés DefaultIcon, QuickView et shell.
- HKCR\txtfile\DefaultIcon comporte la valeur (Défaut) et sa donnée 'c:\windows\NOTEPAD.EXE,0'... et voila l'icône !
- HKCR\txtfile\QuickView comporte la valeur (Défaut) et sa donnée "*"
- HKCR\txtfile\shell comporte la valeur (Défaut) et sa donnée ""
--- une première sous-clé HKCR\txtfile\shell\open avec la valeur (Défaut) et sa donnée '(valeur non définie)'
----- et une sous-sous-clé HKCR\txtfile\shell\open\command avec la valeur (Défaut) et sa donnée 'c:\windows\NOTEPAD.EXE %1'... et voila le programme à exécuter !
--- et une seconde sous-clé HKCR\txtfile\shell\print avec la valeur (Défaut) et sa donnée '(valeur non définie)'
----- et une sous-sous-clé HKCR\txtfile\shell\print\command avec la valeur (Défaut) et sa donnée 'c:\windows\NOTEPAD.EXE /p %1'... et voila le programme à exécuter !
-
Recherchons dans les Options des dossiers de Windows Explorer (classement par le libellé Type affiché dans la liste détails de l'explorateur pour Ws9x-ME et par extension pour 2000 et XP) !
- Description du type: 'Document texte'... et voila le libellé !
- type de contenu (MIME): 'text/plain'
2 actions open et print :
- open -> Application utilisée pour effectuer l'action 'c:\windows\NOTEPAD.EXE'... et voila le programme à exécuter !
- print -> Application utilisée pour effectuer l'action 'c:\windows\NOTEPAD.EXE /p'... et voila le programme à exécuter !
-
Examinons le menu contextuel (clic droit) d'un fichier .TXT :
- Ouvrir
- Imprimer
- Aperçu rapide
- Add to Zip
- Add to nomdefichier.zip
- etc.
---
(exemple de fichiers .EXE dont le type est "Application" ; examinons la BdR, les Options des dossiers/Types de fichiers et le menu contextuel).
Dans la base de registres :
La clé HKCR\.exe contient les valeurs :
- '(Défaut)' avec sa donnée 'exefile' (autre clé à examiner)
- 'Content Type' avec sa donnée 'application/x-msdownload'
La clé HKCR\exefile contient les valeurs :
- '(Défaut)' avec sa donnée 'Application'... et voila le libellé du type !
- 'EditFlags' avec sa donnée d8 07 00 00
En outre, la clé comporte les 3 sous-clés DefaultIcon, shell et shellex.
- HKCR\exefile\DefaultIcon comporte la valeur (Défaut) et sa donnée "%1"... et voila l'icône !
- HKCR\exefile\shell comporte la valeur (Défaut) et sa donnée ""
--- la sous-clé HKCR\exefile\shell\open avec la valeur (Défaut) et sa donnée "" et la valeur EditFlags et sa donnée 00 00 00 00
----- et une sous-sous-clé HKCR\exefile\shell\open\command avec la valeur (Défaut) et sa donnée ""%1" %*"... et voila le programme à exécuter !
- HKCR\exefile\shellex comporte la valeur (Défaut) et sa donnée '(valeur non définie)'
--- la sous-clé HKCR\exefile\shellex\PropertySheetHandlers avec la valeur (Défaut) et sa donnée "" et la valeur EditFlags et sa donnée '(valeur non définie)'
----- et une sous-sous-clé HKCR\exefile\shellex\PropertySheetHandlers\{86F19A00-42A0-1069-A2E9-08002B30309D} avec la valeur (Défaut) et sa donnée ""
-
Recherchons dans les Options des dossiers de Windows Explorer (classement par le libellé Type affiché dans la liste détails de l'explorateur pour Ws9x-ME et par extension pour 2000 et XP)... Application est bien présent mais non affichage et non modifiable !
-
Examinons le menu contextuel (clic droit) d'un fichier .EXE :
- Ouvrir
- Aperçu rapide
- Add to Zip
- Add to nomdefichier.zip
- etc.
(examinons maintenant une clé particulière de la base de registres).
La clé HKCR\* contient la valeur '(Défaut)' avec sa donnée '(valeur non définie)'
En outre, la clé comporte les 2 sous-clés QuickView et shellex.
- HKCR\*\QuickView comporte la valeur (Défaut) et sa donnée "*"
- HKCR\*\shellex comporte la valeur (Défaut) et sa donnée '(valeur non définie)'
--- une première sous-clé HKCR\*\shellex\ContextMenuHandlers avec la valeur (Défaut) et sa donnée '(valeur non définie)'
----- une première sous-sous-clé HKCR\*\shellex\ContextMenuHandlers\BriefCaseMenu avec la valeur (Défaut) et sa donnée "{85BBD920-42A0-1069-A2E4-08002B30309D}"
----- une deuxième sous-sous-clé HKCR\*\shellex\ContextMenuHandlers\PropertiesPlus avec la valeur (Défaut) et sa donnée "{0b95b7e0-c8b9-11cf-8f59-444553540000}"
----- une troisième sous-sous-clé HKCR\*\shellex\ContextMenuHandlers\WinZip avec la valeur (Défaut) et sa donnée "{E0D79300-84BE-11CE-9641-444553540000}"
----- une quatrième sous-sous-clé HKCR\*\shellex\ContextMenuHandlers\Yahoo! Mail avec la valeur (Défaut) et sa donnée "{5464D816-CF16-4784-B9F3-75C0DB52B499}"
--- et une seconde sous-clé HKCR\*\shellex\PropertySheetHandlers avec la valeur (Défaut) et sa donnée '(valeur non définie)'
----- une première sous-sous-clé HKCR\*\shellex\PropertySheetHandlers\{3EA48300-8CF6-101B-84FB-666CCB9BCD32} avec la valeur (Défaut) et sa donnée ""
----- une deuxième sous-sous-clé HKCR\*\shellex\PropertySheetHandlers\BriefCasePage avec la valeur (Défaut) et sa donnée "{85BBD920-42A0-1069-A2E4-08002B30309D}"
----- une troisième sous-sous-clé HKCR\*\shellex\PropertySheetHandlers\CryptoSignMenu avec la valeur (Défaut) et sa donnée "{7444C719-39BF-11D1-8CD9-00C04FC29D45}"
Ces données se retrouvent dans chacun des menus contextuels !
Voyons comment ajouter l'option "Ouvrir avec..." dans le menu contextuel de tous les fichiers (cette option est en standard dans W2K et XP mais seulement pour les types de fichiers inconnus de Ws9x) :
Créer les sous-clés absentes de HKCR\*\shell\openas\command
Affecter la donnée "c:\windows\rundll32.exe shell32.dll,OpenAs_RunDLL %1" à la valeur (Défaut).
Remarques : inutile de traduire "openas", Windows connaît ! ces sous-clés, valeur et donnée sont identiques à ce qu'on trouve derrière la clé HKCR\Unknown.
Voyons comment ajouter une option dans le menu contextuel d'un répertoire :
La clé HKCR\Directory contient les valeurs (Défaut)="Dossier", AlwaysShowExt="" et EditFlags=d2 01 00 00
La clé comporte les 4 sous-clés Background, DefaultIcon, Shell et shellex.
Pour ajouter une option dans le menu contextuel d'un dossier, on ajout une sous-sous-clé dans la sous-clé shell :
- Nom de la sous-sous-clé = 'PrintDir' = libellé qui sera affiché dans le menu contextuel
--- créer une sous-sous-sous-clé de nom 'Command' comportant en valeur (Défaut)="C:\PrintDir.bat", le chemin complet du programme à exécuter.
Pour éviter qu'un double-clic sur un fichier .REG corresponde à Fusionner mais au contraire à Ouvrir :
Accéder à la clé HKCR\regfile\shell et affecter la donnée "edit" à la valeur (Défaut).
Concernant les associations, on trouve dans HKCR, chacune des extensions ainsi que les clés correspondantes (en donnée de la valeur (Défaut)).
On peut distinguer plusieurs clés remarquables :
- * - tous les fichiers
- Directory - tous les répertoires
- Drive - toutes les unités
- Folder - toutes les icônes des dossiers techniques du bureau
- Unknown - les types de fichiers inconnus
et quelques clés capitales (attaquées par des virus) :
- exefile - correspondant à l'extension .EXE (tous les exécutables) - exécuter : ""%1" %*"
- regfile - correspondant à l'extension .REG (pour réparer la base de registres) - fusionner : "regedit.exe "%1""
- inffile - correspondant à l'extension .INF (pour réparer les .REG) - installer : "c:\windows\rundll.exe setupx.dll,InstallHinfSection DefaultInstall 132 %1"
Registry -Lancement programmes (Run)
15 clés
1- HKCR\Software\Microsoft\Windows\CurrentVersion\Run
(cf 4) (la catégorie 1 n'est pas affichée dans Msconfig -onglet Démarrage)
2- HKCU\Software\Microsoft\Windows\CurrentVersion\Run ou RunOnce
(cf 7 8) (la rubrique HKCU = Current User est la partie issue de HKU relative à l'utilisateur connecté)
3- HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices ou RunServicesOnce
4- HKLM\Software\CLASSES\Software\Microsoft\Windows\CurrentVersion\Run
(cf 1) (la catégorie 4 n'est pas affichée dans Msconfig -onglet Démarrage)
5- HKLM\Software\Microsoft\Windows\CurrentVersion\Run ou RunOnce ou RunOnceEx
6- HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices ou RunServicesOnce
7- HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run ou RunOnce
(cf 2 8)
8- HKU\{S-1-5-2165...}\Software\Microsoft\Windows\CurrentVersion\Run ou RunOnce
(cf 2 7) (les clés 8 n'existent que dans les systèmes d'exploitation avec identités -profils- tel que W2K)
. Chacune des clés peut être assortie d'une "clé-" par exemple HKCU\Software\Microsoft\Windows\CurrentVersion\Run-, correspondant aux éléments décochés dans la liste MSconfig.
. Les Clés 1 & 4 fonctionnent de concert.
. Les Clés 2, 7 & 8 fonctionnent de concert.
. Les Clés 1 & 4 ne sont pas affichées dans Msconfig -onglet Démarrage.
. Les éléments du répertoire C:\Windows\Menu Démarrer\Programmes\Démarrage servent aussi à lancer les programmes mais ne figurent pas dans la Registry. Les éléments désactivés de la liste MSconfig sont placés dans le répertoire dossier C:\Windows\Menu Démarrer\Programmes\Rubriques inactives du Démarrage
Registry -Ajout-Suppression de Programmes
- HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall (Ajout-Suppression de programmes)
- HKCU\Software (Désinstaller un programme)
- HKLM\Software (Désinstaller un programme)
Registry -menu Démarrer/Programmes
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\StartMenu\&Programs (menu Démarrer/Programmes)
Les clés HKCU se retrouvent en HKU\.DEFAULT
Registry -Panneau de configuration
- HKCU\Control Panel
- HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel
- HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel
Toutes les restrictions peuvent être désactivées en mettant 0 dans le DWORD, activées en mettant 1.
valeur Advanced
valeur AutoConfig
valeur Cache
valeur CalenderContact
valeur Certificates
valeur Check If Default
valeur Colors
valeur Connection Settings
valeur Connection Wizard
valeur Fonts
valeur History
valeur HomePage
valeur Languages
valeur Links
valeur Messaging
valeur Profiles
valeur Proxy
valeur Ratings
valeur Wallet
Les clés HKCU se retrouvent en HKU\SID et, en particulier HKU\.DEFAULT, s'il n'y a pas de profil.
Pour les système avec profils, HKU\.DEFAULT contient les paramètres avant toute identification, par exemple, la langue et les leds du clavier.
C'est ainsi que HKU\.DEFAULT\Control Panel\Keyboard, valeur InitialKeyboardIndicators accepte la valeur '2' pour NumLock activé ; '0' -en standard- pour NumLock désactivé.
Registry -Evénements sons
- HKCU\AppEvents\EventLabels
Registry -Langue
La langue française est la 40C (409 pour US, 809 pour UK, C09 pour Australia)
Le code téléphonique est 33 (1 pour US, 44 pour UK)
- HKCU\ControlPanel\Desktop\ResourceLocale, valeur (Défaut)= (Ws98)
- HKCU\ControlPanel\International, valeur Locale= (Ws98 & W2K)
- HKCU\Keyboard layout\Preload\1, valeur (Défaut)= (Ws98)
- HKCU\Keyboard layout\Trayload, valeur (Défaut)= (W2K)
- HKLM\Software\Microsoft\Internet Explorer, valeur ChannelLocale= (Ws98)
- HKLM\Software\Microsoft\Windows\CurrentVersion\Nls\Locale MapIDs (Ws98 & W2K)
- HKLM\Software\Microsoft\Windows\CurrentVersion\Setup\EBD\EBDConfigSysLocale (param Config.sys Ws98)
- HKLM\System\CurrentControlSet\Control\Nls\Locale, valeur (Défaut)= (liste langues Ws98)
- HKLM\System\CurrentControlSet\Control\keyboard layouts\0000040C (Ws98)
- HKLM\System\CurrentControlSet\Current\Nls\Locale, valeur (Défaut)=
- HKLM\System\ControlSet00x\Control\ContentIndex\Language (W2K)
- HKLM\System\ControlSet00x\Control\Nls\Locale (liste W2K)
Les clés HKCU se retrouvent en HKU\SID ou HKU\.DEFAULT
Registry -Nom de la machine sur le réseau
- HKCU\Software\Microsoft\Windows Media\WMSDK\General, valeur ComputerName
Les clés HKCU se retrouvent en HKU\.DEFAULT
- HKLM\System\CurrentControlSet\Control\ComputerName\ComputerName, valeur ComputerName
- HKLM\System\CurrentControlSet\Services\VxD\VNetSup, valeur ComputerName
Registry -Dernière connexion réseau
- HKLM\Network\Logon, valeur Username
- HKLM\System\CurrentControlSet\Control, valeur Current User
Registry -RAS=Remote Access Service
- HKCU\RemoteAccess\Addresses
- HKCU\RemoteAccess\Profile
- HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections, Valeur
Les clés HKCU se retrouvent en HKU\SID ou HKU\.DEFAULT
Registry -FTP=File Transfer Protocol
- HKCU\Software\Microsoft\Fp\Accounts\ftp:...
Les clés HKCU se retrouvent en HKU\SID ou HKU\.DEFAULT
Registry -Start Page IE
- HKCU\Software\MicroSoft\Internet Explorer\Main, valeur Start Page
Les clés HKCU se retrouvent en HKU\SID ou HKU\.DEFAULT
Registry -Favoris IE
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites
Les clés HKCU se retrouvent en HKU\SID ou HKU\.DEFAULT
Registry -Liste déroulante adresses IE
- HKCU\Software\Microsoft\Internet Explorer\TypedURLs (URL de la liste déroulante d'IE)
Les clés HKCU se retrouvent en HKU\.DEFAULT
Registry -Connexions IE
(voir RAS)
- HKCU\RemoteAccess
Les clés HKCU se retrouvent en HKU\.DEFAULT
Registry -Personnalisations IE
Lorsque la connexion a été installée à partir d'un kit, pour supprimer la mention "fourni par..." affichée dans la barre de titre d'IE :
- chercher la mention "fourni par ..." dans la Base de Registres,
- sélectionner la valeur nommée "Window Title", dans la branche
- HKLM\Software\Microsoft\Internet Explorer\Main
- faire la même chose pour la barre de titre d'Outlook Express.
On trouvera le logo du fournisseur d'accès dans :
- HKCU\Software\Microsoft\Internet Explorer\Toolbar
- supprimer les deux valeurs BrandBitmap et SmBrandBitmap.
Modifier la couleur du fond de la barre d'outils d'IE :
- créer une image à l'aide de Paint (aucune contrainte de taille) et l'enregistrer au format BMP
- HKCU\Software\Microsoft\Internet Explorer\Toolbar
- Pour IE 5.x, créer une valeur chaîne BackBitmapIE5 et indiquer le chemin d'accès à l'image 'c:\windows\fond.bmp' par ex.
- Pour IE 4 et 6, cette chaîne devra être appelée BackBitmap
Menu contextuel d'IE (éléments non standards) :
- HKCU\Software\Microsoft\Internet Explorer\MenuExt, sousclé 'libellé' ; valeur=???, donnée=???
Registry -MS-Outlook & OE=Outlook Express
- HKCU\Identities
- HKCU\Software\Microsoft\Internet Account Manager\Accounts\num.compte.OE, valeurs...
Les clés HKCU se retrouvent en HKU\.DEFAULT
- HKLM\Software\Microsoft\Protected Storage System Provider\identité\Data\...\...\http...
Les clés HKCU se retrouvent en HKU\.DEFAULT
Lorsque la connexion a été installée à partir d'un kit, pour supprimer la mention "fourni par..." affichée dans la barre de titre d'OE :
- chercher la mention "fourni par ..." dans la Base de Registre,
- sélectionner la valeur nommée "Windows Title", dans la branche
HKEY_CURRENT_USER\Identities\{XXXXX}\Software\Microsoft\Outlook Express\5.0
- remplacer "Outlook Express fourni par ..." par "Outlook Express".
- faire la même chose pour la barre de titre d'Internet Explorer
(MS-Outlook 2000)-Interdire l'ouverture de certaines pièces jointes :
- HKLM\Software\Microsoft\Office\9.0\Outlook\Security
- considérer les valeurs AddWarningFileTypes & RemoveWarningFileTypes
- pour bloquer l'ouverture des fichiers Word et Excel, saisir "DOC ; XLS" dans AddWarningFileTypes