gM
Retour / Back
Base de Registres / Registry



This page is written in French; if you're interested in it and wish my translating into English, do ask me!

-1- MSconfig-onglet Démarrage / gestionnaire de Tâches / zone Système (SysTray) /
MSconfig-Startup tab / Task Manager / SysTray

-2- Dossiers Système / System Folders
-3- Utilitaires Système / System Utilities
-4- Divers Système / System Miscellaneous

>5- Base de Registres / Registry
    ---Généralités---
---Fichiers .REG---

---Liens Registry---
---Nettoyage Registry---
---Traces---

-Shell Folders
-Explorer (Windows & Internet)
-Series (CLSID & Keys)
-listes MRU
-listes URL
-Protected Storage Sys.Provider
-autres listes (Recent)

Win -propriétaire
Win -clé install.Windows
Win -chemin install. Win
Win -infos Système
Win -mot de passe Win
Win -Install. d'1 Programme
+++Win -Associations
Win -lancement programmes
Win -ajout-suppress.progr.
Win -menu Démarrer
Win -Panneau de configuration
Win -Evénements sons
Win -Langue
Res -nom machine réseau
Res -dernière connexion réseau
-RAS
-FTP
IE -Start Page
IE -favoris
IE -adresses
IE -connexions
IE -personnalisations
Outlook -MS-Outlook & OE
  5 volets principaux pour cette étude du système d'exploitation :
- Comment sont lancés les modules qui mangent les ressources ?
- Comparaison des différentes versions de Windows :
--- dossiers système
--- utilitaires système
--- fichiers paramètres système
- Base de Registres et quelques séries remarquables.
/
5 main tabs for this study of the operating system:
- How are launched these modules that eat our resources?
- Comparison of the differents versions of Windows:
--- system folders
--- system utilities
--- system parameter files
- Registry and some remarkable series.
 Traces :
    -identités
-progr.& infos persos
-Adobe Viewer
-Creative Technologies
-Internet Explorer
-Log Files
-Direct3D
-DirectDraw
-Media Player
-Office 8.0
-Paint
-Photo Editor
-WebPost Wizard
-Wordpad
-Netscape Messenger
-Netscape Navigator
-RealOne Player
-VNC
-Windows Install Locations
-Windows Explorer
-Windows Network
-WinZip
   
 Traces de virus et tricks
(les altérations de la Registry par les virus sont intéressantes par ce que, outre le moyen de désinfecter, elles nous montrent le fonctionnement "intime" du système) :
    -Suomia Trojan (hooking EXE files - Juillet 2002)
-extinction immédiate (Vmm32.vxd ou Wininit.exe absebts ou abimés)
-xxx (Autorun sur disque dur avec XP)
-xxx Remove Content Advisor Password in IE

 



 ---Généralités---

(2 fichiers : System.dat & User.dat dans le dossier C:\Windows ou C:\WinNT, dans le dossier %SystemRoot%\System32\Config pour W2K ; Win-ME comprend un troisième fichier : Classes.dat)
(6 entrées)
HKEY_CLASSES_ROOT Héritière du REG.DAT de Win 3.x, cette clé contient les informations concernant :
- le DDE et l'OLE,
- les extensions et associations de fichiers,
- les raccourcis Windows 95 (ils reposent sur les mécanismes de liaison et l'incorporation d'objets),
- le nom de tous les pilotes,
- certains aspects de l'interface.
Cette entrée ne contient, en fait, aucune donnée mais un pointeur vers 2 parties de HKLM ; la modification de l'une des "2 entrées" est donc suffisante :
- HKLM\Software\Classes,
- HKCU\Software\Classes.
HKEY_CURRENT_USER Cette clé pointe sur une branche de HKEY_USERS pour l'utilisateur qui a ouvert une session.
Cette entrée ne contient, en fait, aucune donnée mais un pointeur vers HKU\SID (Security ID) ; la modification de l'une des "2 entrées" est donc suffisante !
- nom de logon,
- paramètres du bureau,
- paramètres du menu Démarrer.
HKEY_LOCAL_MACHINE Celle-ci contient les informations spécifiques au PC :
- type de matériel,
- logiciels installés,
- toutes les informations utilisées par chaque utilisateur de ce micro-ordinateur.
HKEY_USERS Elle contient au moins 3 sortes d'informations sur les divers utilisateurs qui ouvrent une session sur cet ordinateur :
- .DEFAULT -informations génériques pour tous les utilisateurs,
  Pour les systèmes sans profil, HKCU contient la même chose que HKU\.DEFAULT (en fait, HKCU pointe sur HKU\.DEFAULT)
  Pour les systèmes avec profils, et en particulier pour NT, 2000 et XP, HKU contient une série de clés pour chacune de ID définies et HKCU pointe sur l'une de ces séries
  en particulier, .DEFAULT définit les paramètres avant toute identification -avant entrée de l'ID et password Windows-, par exemple, la langue ou les leds du clavier.
- SID -informations spécifiques dans des sous-clés pour chaque utilisateur,
- SID avec suffixe _CLASSES -informations spécifiques dans des sous-clés pour chaque utilisateur.
HKEY_CURRENT_CONFIG Elle porte sur une section de la branche HKEY_LOCAL_MACHINE\CONFIG contenant les informations sur le profil matériel en cours d'utilisation.
Cette entrée ne contient, en fait, aucune donnée mais un pointeur vers HKLM\System\CurrentControlSet\Hardware Profile !
HKEY_DYN_DATA Les informations de HKDD ne sont pas inscrites dans la registry ; comme le nom l'indique, il s'agit d'informations dynamiques re-générées au démarrage de l'ordinateur en fonction du matériel pluggé -matériel PnP- et des données de HKEY_LOCAL_MACHINE.
3 clés :
- Config Manager,
- PerfStats,
- Security.

(5+7 types)
REG_BINARY Donnée binaire brute
REG_DWORD nombre sur 4 octets utilisé pour les valeurs Booléennes, comme 0=invalide, 1=valide
REG_EXPAND_SZ Donnée chaîne avec variable comme %SystemRoot% (éditable par RegEdt32)
REG_MULTI_SZ Donnée chaîne multiple avec séparateur espace (éditable par RegEdt32)
REG_SZ Donnée chaîne standard
Autres types non éditables par RegEdit ou RegEdt32 :
REG_DWORD_LITTLE_ENDIAN REG_DWORD_BIG_ENDIAN REG_LINK REG_NONE REG_QWORD REG_QWORD_LITTLE_ENDIAN REG_RESOURCE_LIST

 ---Fichiers .REG---

Les fichiers .REG sont des fichiers ASCII contenant des éléments de la base de registre.
Ils peuvent être obtenus par la fonction Registre/Exporter un fichier du Registre... ; ils servent ainsi de sauvegarde ou de fichier d'échange lorsqu'ils sont repris dans une autre base de registre. L'exportation peut concerner la totalité de la base ou quelques branches spécifiques.
Les fichiers .REG peuvent aussi être créés à partir d'un simple éditeur de texte (Notepad.exe par exemple)
La mise à jour de la base par un fichier .REG est obtenue par clic droit/Fusionner ; en standard, Fusionner est l'option par défaut, celle qui est lancée par un double clic, mais il est vivement conseillé de modifier cela pour éviter qu'un double clic sur fichier inconnu (c'est si vite fait) n'aille modifier cette Registry si précieuse !
La mise à jour peut aussi être réalisée, bien sûr, par la fonction Registre/Importer un fichier du Registre...
Fichier .REG
La structure d'un fichier .REG est la suivante (exemple de mise à jour de la page de démarrage d'Internet Explorer) :
- REGEDIT4 (il s'agit d'une en-tête indiquant la nature du fichier)
- (ligne blanche obligatoire)
. modification d'une donnée : on indique la clé entre crochets sur une première ligne puis la valeur entre guillemets (si chaine), le signe "égale" suivi de la donnée entre guillemets (si chaine) dans une deuxième ligne ; enfin, une ligne vierge :
- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] (la clé à modifier)
- "SetupType"=dword:00000000 (ici factice ; la valeur à modifier et la donnée à affecter).
- "Start Page"="http://www.boursorama.com" (la valeur à modifier et la donnée à affecter).
- "SystemPrefix"=hex:c5,0b,00,00,00,40,36,02 (ici factice ; la valeur à modifier et la donnée à affecter).
- (ligne blanche obligatoire)
. création d'une clé/valeur - c'est la même chose que pour la modification : si la clé/valeur n'existe pas, elle est créée.
. suppression d'une clé - il faut coder comme suit :
- (toujours la ligne REGEDIT4 suivie d'une ligne vide)
- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] (la clé sera supprimée)
- (ligne blanche obligatoire)
. suppression d'une valeur - il faut coder comme suit :
- (toujours la ligne REGEDIT4 suivie d'une ligne vide)
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] (la clé)
- "AutoConfigURL"=- (la valeur sera supprimée).
- (ligne blanche obligatoire)
(Cette suppression désactivera la case "Utiliser un script de configuration automatique").
Paramètres de la ligne de commande Regedit :
Regedit [options] [filename] [regpath]
- [filename] (fichier .reg à importer)
- /s [filename] (importation silencieuse -sans intervention opérateur- eg regedit /s myfile.reg)
- /e [filename] [regpath] (exporte registre dans filename à partir de regpath eg regedit /e file.reg HKEY_USERS\.DEFAULT)
- /l:system (précise le system.dat utilisé)
- /r:user (précise le user.dat utilisé eg regedit l:a:\system.dat r:a:\user.dat /e C:\Windows\newreg.reg)
- /c [filename] (création -Ws98- eg regedit l:a:\system.dat r:a:\user.dat /c C:\Windows\newreg.reg)
- /d [regpath] (Supprime la clé spécifiée -Ws98/ME- eg regedit /d HKEY_LOCAL_MACHINE\Software\McAfee)



 ---Liens Registry---

Le Registre
Franck Kiechel
Dark Cristal
WinGuides
PCcomputernotes
JSI FAQ
Pacs-Portal -KB
3FeetUnder -KB
Tout sur la base de registre
Registre XP W2K3 -MS
Support MS
J-C. Bellamy
J-C. Bellamy 2
MS - RSRCMTR
Wayne's Registry Index
systweak
hotline-pc hotline-pc
Whidbey -KB
Henri Leboeuf
Rob Van der Woude
Comment Cà Marche
Laurent Gébeau
Megagiciel
Les doc's de Heissler Frédéric
WinGuides -Registry Mechanic
FGagne.org
RegEDit
Doug's Windows Tweaks and Tips
InfiniSource -KB
PHaRaoH's Security and System Restrictions
SoftPanorama (Dr Nikolai Bezroukov)
AXCEL216 /MGDx Registry HACKs
TOUT SUR LA BASE DE REGISTRE
Mon PC.net
WSC -KB Links
WSC -KB
Resplendence Sp
RegTips.com
Major Geeks
Secrets Windows.com
Fred Just
Windows IT Library
Jurixt
Annoyances.org
Bases de connaissances sur la Registry
->   REGENTRY.chm (1 382 527 octets) (REGENTRY.txt) -W2K Resource Kit-
->   W2RKTOOL.chm (1 074 383 octets) (W2RKTOOL.txt) -W2K Resource Kit-
-> Windows Registry Guide 2003 US   RegGuide -WinGuides.com
-> Windows Registry Guide 2003 Fr   registry -Philippe Curtil   registry -Philippe Curtil
->   WINREG.hlp (305 975 octets) (WINREG.txt) Shrishail Rana



 ---Nettoyage Registry---

RegCleaner 4.3.0.780 (jv16.org)
RegCleaner (Arcady)
RegCleaner (Terroirs d'en France)
Easy Cleaner de Toni Arts
RegSeeker
Registry Tools
jv16 Power Tools 1.4.0 de Jouni Vuorio
Spybot Search and Destroy v1.2
MS-RegClean 4.1a (Download.com)   (WinGuides)
Test de nettoyeurs -> The Ultimate Registry Cleaner Test
Discussions -> Zebulon, CCM -101160, CCM -281192
Utilitaires ->   WinGuides



 ---Liens INF---

Tutos INF
Le registre Windows Vista
Hotline-PC.org
OSR Online
OSR Online
Victor Laurie
Victor Laurie -PDF
Microsoft
Le tuto msdn
msdn
msdn
Les fichiers Install.inf/Autorun.inf
CCM
filburt.lns.mit.edu
kioskea.net
 
Utilitaires ->   WillyPad 2.92
Pour exécuter les fichiers INF automatiquement depuis un batch, il faut lancer la commande suivante :
RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultInstall 132 C:/WINDOWS/INF/SHELL.INF
Ceci exécutera le paragraphe [Install].
La valeur 132 peut varier suivant les règles suivantes :
128 Le chemin de l'installation est le chemin du fichier INF.
+0 Ne jamais redémarrer le PC.
+1 Toujours redémarrer le PC.
+2 Toujours demander avant de redémarrer le PC.
+3 Redémarre le PC si nécessaire sans demander.
+4 Si un redémarrage est nécessaire, demander avant de redémarrer le PC.



 Registry -Shell Folders

   - HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
    (adresse dossiers système : AppData, Cache, Cookies, Desktop, Favorites, Fonts, History, Local AppData, NetHood, Personal, PrintHood, Programs, Recent, SendTo, Start Menu, Startup & Templates)
   - HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
    (adresse dossiers système utilisateurs : Cache, Favorites & Personal)
   - HKLM\Software\Microsoft\Windows\CurrentVersion
   - HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell Folders
    (adresse dossiers système : Common AppData, Common Desktop & Common Startup)
   - HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\User Shell Folders
    (adresse dossiers système utilisateurs : Favorites & Personal)
   - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
    (adresse dossiers système : AppData, Cache, Cookies, Desktop, Favorites, Fonts, History, Local AppData, NetHood, Personal, PrintHood, Programs, Recent, SendTo, Start Menu, Startup & Templates)
   - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
    (adresse dossiers système utilisateurs : Cache, Favorites & Personal)

 Registry -Explorer (Windows & Internet)

Windows Explorer
   - HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer et notamment :
    clé Doc Find Spec MRU -> (find)
    clé MenuOrder\Favorites -> liste des dossiers favoris
    clé MenuOrder\Start Menu\&Programs -> menu Démarrer\Programmes
    clé RunMRU -> liste de Démarrer/Exécuter
    clé Shell Folders -> adresse dossiers système
    clé User Shell Folders -> adresse dossiers système utilisateurs
   - HKLM\Software\Microsoft\Windows\CurrentVersion\explorer et notamment :
    clé AlwaysUnloadDLL
    clé MyComputer\CleanupPath
    clé Shell Folders -> adresse dossiers système
    clé User Shell Folders -> adresse dossiers système utilisateurs
    clé VolumeCaches
    clé WindowsUpdate -> le programme d'update
   - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer et notamment :
    clé Doc Find Spec MRU -> (find)
    clé MenuOrder\Favorites -> liste des dossiers favoris
    clé MenuOrder\Start Menu\&Programs -> menu Démarrer\Programmes
    clé RunMRU -> liste de Démarrer/Exécuter
    clé Shell Folders -> adresse dossiers système
    clé User Shell Folders -> adresse dossiers système utilisateurs
Internet Explorer
   - HKCU\Software\Microsoft\Internet Explorer et notamment :
    clé Main -> FullScreen, Search Page, Start Page, Window Title
    clé TypedURLs -> liste des URL tapées
   - HKLM\Software\Microsoft\Internet Explorer et notamment :
    clé AboutURLs -> adresse des pages d'erreurs
    clé Main -> FullScreen, Search Bar, Search Page, Start Page, Wizard_Version
    clé Registration -> Valeur ProductID
    clé Search -> liste des moteurs de recherches
   - HKLM\Software\Microsoft\Shared Tools\MSInfo\Categories\InternetExplorer5
   - HKU\.DEFAULT\Software\Microsoft\Internet Explorer et notamment :
    clé Main -> FullScreen, Search Page, Start Page, Window Title
    clé TypedURLs -> liste des URL tapées

 Registry -Series (CLSID & Keys)

CLSID
   - HKCR\CLSID
   - HKCU\Software\Classes et notamment Voisinage Réseau, Poste de travail
   - HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID
   - HKLM\Software\Microsoft\Windows\CurrentVersion\Shellextensions\Approved
   - HKLM\Software\Microsoft\Active Setup\ et notamment ClsidFeature, FeatureComponentID, Installed Components & MimeFeature
Keys
   - HKCU\Software\Microsoft\Advanced INF Setup\IE User Data\RegBackup\0.map
   - HKCU\Software\Microsoft\Windows\CurrentVersion\Profile Reconciliation\ et notamment AppData, Cookies & History
   - HKU\.DEFAULT\Software\Microsoft\Advanced INF Setup\IE User Data\RegBackup\0.map
   - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Profile Reconciliation\ et notamment AppData, Cookies & History

 Registry -listes MRU

   - HKCU\Identities\{...}Software\Microsoft\Outlook Express\5.0\Rules\Filters\MRU List
   - HKCU\InstallLocationMRU (liste installation)
   - HKCU\Software\Microsoft\Internet Explorer\International\CpMRU
   - HKCU\Software\Microsoft\Office\8.0\Common\Open Find\Gestionnaire Microsoft Office\Settings\Ajouter un dossier\Any Text MRU
   - HKCU\Software\Microsoft\WebPost\CrcMRU
   - HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU (Find)
   - HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PrnPortsMRU
   - HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU (Démarrer/Exécuter)
   - HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU
   - HKCU\Software\ORL\VNCviewerMRU (IP VNC)
   - HKU\.DEFAULT\Identities\{...}Software\Microsoft\Outlook Express\5.0\Rules\Filters\MRU List
   - HKU\.DEFAULT\InstallLocationMRU (liste installation)
   - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\International\CpMRU
   - HKU\.DEFAULT\Software\Microsoft\Office\8.0\Common\Open Find\Gestionnaire Microsoft Office\Settings\Ajouter un dossier\Any Text MRU
   - HKU\.DEFAULT\Software\Microsoft\WebPost\CrcMRU
   - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU (Find)
   - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\PrnPortsMRU
   - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU (Démarrer/Exécuter)
   - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU
   - HKU\.DEFAULT\Software\ORL\VNCviewerMRU (IP VNC)

 Registry -listes URL

   - HKCU\Software\Microsoft\Internet Explorer\TypedURLs (URL de la liste déroulante d'IE)
   - HKLM\Software\Microsoft\Internet Explorer\AboutURLs (URL erreurs)
   - HKLM\Software\Microsoft\Internet Explorer\Help_Menu_URLs (IE Update)
   - HKLM\Software\Microsoft\Internet Explorer\Main\UrlTemplate
   - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\TypedURLs (URL de la liste déroulante d'IE)

 Registry -Protected Storage System Provider

   - HKLM\Software\Microsoft\Protected Storage System Provider (Connexions et infos ISP)

 Registry -autres listes (Recent)

   - HKCU\Network\Recent (Dossiers réseau)
   - HKCU\Software\Adaptec\Easy CD Creator\Recent FileList
   - HKCU\Software\Creative Tech\WebCam PhotoEditor\Recent FileList
   - HKCU\Software\Hyperionics\HyperSnap_DX v.4\HyperSnap_DX\Recent FileList
   - HKCU\Software\Microsoft\MediaPlayer\Player\Recent FileList (Media Player)
   - HKCU\Software\Microsoft\Office\8.0\Excel\Recent File List (Excel)
   - HKCU\Software\Microsoft\Office\8.0\PowerPoint\Recent File List (Powerpoint)
   - HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List (Paint)
   - HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Recent File List (Wordpad)
   - HKCU\Software\PixAround.com\PIXSCREEN\Recent File List (Pix Screen)
   - HKCU\Software\Symantec\pcAnyware\CurrentVersion\AWREM32\Recent File List (PC-Anywhere)
   - HKU\.DEFAULT\Network\Recent (Dossiers réseau)
   - HKU\.DEFAULT\Software\Adaptec\Easy CD Creator\Recent FileList
   - HKU\.DEFAULT\Software\Creative Tech\WebCam PhotoEditor\Recent FileList
   - HKU\.DEFAULT\Software\Hyperionics\HyperSnap_DX v.4\HyperSnap_DX\Recent FileList
   - HKU\.DEFAULT\Software\Microsoft\MediaPlayer\Player\Recent FileList (Media Player)
   - HKU\.DEFAULT\Software\Microsoft\Office\8.0\Excel\Recent File List (Excel)
   - HKU\.DEFAULT\Software\Microsoft\Office\8.0\PowerPoint\Recent File List (Powerpoint)
   - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List (Paint)
   - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Recent File List (Wordpad)
   - HKU\.DEFAULT\Software\PixAround.com\PIXSCREEN\Recent File List (Pix Screen)
   - HKU\.DEFAULT\Software\Symantec\pcAnyware\CurrentVersion\AWREM32\Recent File List (PC-Anywhere)

 Registry -Propriétaire

   - HKLM\Software\MicroSoft\Windows\CurrentVersion, valeur RegisteredOwner (Ws9x-ME)
   - HKLM\Software\MicroSoft\Windows NT\CurrentVersion, valeur RegisteredOwner (W2K / XP)

 Registry -Clé d'installation Windows 9x

   - HKLM\Software\MicroSoft\Windows\CurrentVersion, valeur ProductKey

 Registry -Chemin fichiers d'installation Windows

   - HKLM\Software\MicroSoft\Windows\CurrentVersion\Setup, valeur SourcePath
(par exemple C:\Windows\Options\CABS)

 Registry -infos Système

   - HKLM\Software\MicroSoft\Windows\CurrentVersion (Ws9x-ME)... ou HKLM\Software\MicroSoft\Windows NT\CurrentVersion (W2K / XP)...
   ... toutes les valeurs et en particulier :
    valeur DVD_Region
    valeur ProductID, numéro d'identification de Windows
    valeur ProductKey, clé saisie lors de l'install.
    valeur ProductName, nom du système d'exploitation
    valeur RegisteredOrganization, nom de la société
    valeur RegisteredOwner, nom du propriétaire
    valeur Version, nom de la version de Windows 9x
    valeur VersionNumber, numéro de la version de Windows
    valeur SubVersionNumber, lettre identifiant la version de Windows

 Registry -mot de passe Windows

  • Pour obliger l'utilisateur à valider un mot de passe au lancement de Windows :
       - HKLM\Network\Logon, créer la clé "MustBeValidated" et lui assigner la valeur 0x00000001 (1)
    Précisions de Pierre Buisson : pour que la clé ajoutée soit efficace, il est indispensable que l'on ait créé au préalable un "profil utilisateur" par Démarrer, Paramètres, Panneau de configuration,Utilisateurs.
    On peut ajouter cette clé en exécutant le fichier "Win9x_MustBeValidated.reg" de son site Web
  • (W2K)- Pour bannir les mots de passes trop explicites et imposer certaines règles :
       - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Network
    Double cliquer sur la valeur AlphaNumPwds et saisir 1 pour obliger à incorporer lettres et chiffres.
    Double cliquer sur la valeur MinPwdLen et spécifier le nombre de caractères minimum.

     Registry -Installation d'un programme

  • Ajout-Suppression de programmes
       - HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall... ajout de l'application en clé.
  • Liste des programmes
       - HKLM\Software... ajout de l'application en clé.
       - HKCU\Software... ajout de l'application en clé.
  • Enregistrement dans le menu Démarrer
       - HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\StartMenu\&Programs... ajout de l'application en clé.
       - HKLM\Software\Microsoft\Windows\CurrentVersion\AppPath... ajout de l'application en clé.
  • Enregistrement de l'extension et de l'association
       - HKCR\... ajout de l'extension en clé... on y trouve le libellé
       - HKCR\... ajout du libellé de l'extension en clé... on y trouve l'exécutable
       - HKLM\Software\CLASSES\... ajout de l'extension en clé
       - HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions... ajout de l'extension en clé.

     +++Registry -Associations de fichiers

  • (exemple de fichiers .TXT dont le type est "Document texte" ; examinons la BdR, les Options des dossiers/Types de fichiers et le menu contextuel).
    Dans la base de registres :
    La clé HKCR\.txt contient les valeurs :
       - '(Défaut)' avec sa donnée 'txtfile' (autre clé à examiner)
       - 'Content Type' avec sa donnée 'text/plain'
    En outre, la clé comporte les 2 sous-clés ShellEx et ShellNew.
       - HKCR\.txt\ShellEx comporte la valeur (Défaut) et sa donnée '(valeur non définie)'
       --- et une sous-clé HKCR\.txt\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1} avec la valeur (Défaut) et sa donnée '{EAB841A0-9550-11cf-8C16-00805F1408F3}'
       - HKCR\.txt\ShellNew comporte la valeur (Défaut) et sa donnée '(valeur non définie)' et aussi la valeur NullFile et sa donnée ""
    La clé HKCR\txtfile contient les valeurs :
       - '(Défaut)' avec sa donnée 'Document texte'... et voila le libellé du type !
       - 'EditFlags' avec sa donnée 00 00 00 00
    En outre, la clé comporte les 3 sous-clés DefaultIcon, QuickView et shell.
       - HKCR\txtfile\DefaultIcon comporte la valeur (Défaut) et sa donnée 'c:\windows\NOTEPAD.EXE,0'... et voila l'icône !
       - HKCR\txtfile\QuickView comporte la valeur (Défaut) et sa donnée "*"
       - HKCR\txtfile\shell comporte la valeur (Défaut) et sa donnée ""
       --- une première sous-clé HKCR\txtfile\shell\open avec la valeur (Défaut) et sa donnée '(valeur non définie)'
       ----- et une sous-sous-clé HKCR\txtfile\shell\open\command avec la valeur (Défaut) et sa donnée 'c:\windows\NOTEPAD.EXE %1'... et voila le programme à exécuter !
       --- et une seconde sous-clé HKCR\txtfile\shell\print avec la valeur (Défaut) et sa donnée '(valeur non définie)'
       ----- et une sous-sous-clé HKCR\txtfile\shell\print\command avec la valeur (Défaut) et sa donnée 'c:\windows\NOTEPAD.EXE /p %1'... et voila le programme à exécuter !
    -
    Recherchons dans les Options des dossiers de Windows Explorer (classement par le libellé Type affiché dans la liste détails de l'explorateur pour Ws9x-ME et par extension pour 2000 et XP) !
       - Description du type: 'Document texte'... et voila le libellé !
       - type de contenu (MIME): 'text/plain'
    2 actions open et print :
       - open -> Application utilisée pour effectuer l'action 'c:\windows\NOTEPAD.EXE'... et voila le programme à exécuter !
       - print -> Application utilisée pour effectuer l'action 'c:\windows\NOTEPAD.EXE /p'... et voila le programme à exécuter !
    -
    Examinons le menu contextuel (clic droit) d'un fichier .TXT :
       - Ouvrir
       - Imprimer
       - Aperçu rapide
       - Add to Zip
       - Add to nomdefichier.zip
       - etc.
    ---
  • (exemple de fichiers .EXE dont le type est "Application" ; examinons la BdR, les Options des dossiers/Types de fichiers et le menu contextuel).
    Dans la base de registres :
    La clé HKCR\.exe contient les valeurs :
       - '(Défaut)' avec sa donnée 'exefile' (autre clé à examiner)
       - 'Content Type' avec sa donnée 'application/x-msdownload'
    La clé HKCR\exefile contient les valeurs :
       - '(Défaut)' avec sa donnée 'Application'... et voila le libellé du type !
       - 'EditFlags' avec sa donnée d8 07 00 00
    En outre, la clé comporte les 3 sous-clés DefaultIcon, shell et shellex.
       - HKCR\exefile\DefaultIcon comporte la valeur (Défaut) et sa donnée "%1"... et voila l'icône !
       - HKCR\exefile\shell comporte la valeur (Défaut) et sa donnée ""
       --- la sous-clé HKCR\exefile\shell\open avec la valeur (Défaut) et sa donnée "" et la valeur EditFlags et sa donnée 00 00 00 00
       ----- et une sous-sous-clé HKCR\exefile\shell\open\command avec la valeur (Défaut) et sa donnée ""%1" %*"... et voila le programme à exécuter !
       - HKCR\exefile\shellex comporte la valeur (Défaut) et sa donnée '(valeur non définie)'
       --- la sous-clé HKCR\exefile\shellex\PropertySheetHandlers avec la valeur (Défaut) et sa donnée "" et la valeur EditFlags et sa donnée '(valeur non définie)'
       ----- et une sous-sous-clé HKCR\exefile\shellex\PropertySheetHandlers\{86F19A00-42A0-1069-A2E9-08002B30309D} avec la valeur (Défaut) et sa donnée ""
    -
    Recherchons dans les Options des dossiers de Windows Explorer (classement par le libellé Type affiché dans la liste détails de l'explorateur pour Ws9x-ME et par extension pour 2000 et XP)... Application est bien présent mais non affichage et non modifiable !
    -
    Examinons le menu contextuel (clic droit) d'un fichier .EXE :
       - Ouvrir
       - Aperçu rapide
       - Add to Zip
       - Add to nomdefichier.zip
       - etc.
  • (examinons maintenant une clé particulière de la base de registres).
    La clé HKCR\* contient la valeur '(Défaut)' avec sa donnée '(valeur non définie)'
    En outre, la clé comporte les 2 sous-clés QuickView et shellex.
       - HKCR\*\QuickView comporte la valeur (Défaut) et sa donnée "*"
       - HKCR\*\shellex comporte la valeur (Défaut) et sa donnée '(valeur non définie)'
       --- une première sous-clé HKCR\*\shellex\ContextMenuHandlers avec la valeur (Défaut) et sa donnée '(valeur non définie)'
       ----- une première sous-sous-clé HKCR\*\shellex\ContextMenuHandlers\BriefCaseMenu avec la valeur (Défaut) et sa donnée "{85BBD920-42A0-1069-A2E4-08002B30309D}"
       ----- une deuxième sous-sous-clé HKCR\*\shellex\ContextMenuHandlers\PropertiesPlus avec la valeur (Défaut) et sa donnée "{0b95b7e0-c8b9-11cf-8f59-444553540000}"
       ----- une troisième sous-sous-clé HKCR\*\shellex\ContextMenuHandlers\WinZip avec la valeur (Défaut) et sa donnée "{E0D79300-84BE-11CE-9641-444553540000}"
       ----- une quatrième sous-sous-clé HKCR\*\shellex\ContextMenuHandlers\Yahoo! Mail avec la valeur (Défaut) et sa donnée "{5464D816-CF16-4784-B9F3-75C0DB52B499}"
       --- et une seconde sous-clé HKCR\*\shellex\PropertySheetHandlers avec la valeur (Défaut) et sa donnée '(valeur non définie)'
       ----- une première sous-sous-clé HKCR\*\shellex\PropertySheetHandlers\{3EA48300-8CF6-101B-84FB-666CCB9BCD32} avec la valeur (Défaut) et sa donnée ""
       ----- une deuxième sous-sous-clé HKCR\*\shellex\PropertySheetHandlers\BriefCasePage avec la valeur (Défaut) et sa donnée "{85BBD920-42A0-1069-A2E4-08002B30309D}"
       ----- une troisième sous-sous-clé HKCR\*\shellex\PropertySheetHandlers\CryptoSignMenu avec la valeur (Défaut) et sa donnée "{7444C719-39BF-11D1-8CD9-00C04FC29D45}"
    Ces données se retrouvent dans chacun des menus contextuels !
  • Voyons comment ajouter l'option "Ouvrir avec..." dans le menu contextuel de tous les fichiers (cette option est en standard dans W2K et XP mais seulement pour les types de fichiers inconnus de Ws9x) :
    Créer les sous-clés absentes de HKCR\*\shell\openas\command
    Affecter la donnée "c:\windows\rundll32.exe shell32.dll,OpenAs_RunDLL %1" à la valeur (Défaut).
    Remarques : inutile de traduire "openas", Windows connaît ! ces sous-clés, valeur et donnée sont identiques à ce qu'on trouve derrière la clé HKCR\Unknown.
  • Voyons comment ajouter une option dans le menu contextuel d'un répertoire :
    La clé HKCR\Directory contient les valeurs (Défaut)="Dossier", AlwaysShowExt="" et EditFlags=d2 01 00 00
    La clé comporte les 4 sous-clés Background, DefaultIcon, Shell et shellex.
    Pour ajouter une option dans le menu contextuel d'un dossier, on ajout une sous-sous-clé dans la sous-clé shell :
    - Nom de la sous-sous-clé = 'PrintDir' = libellé qui sera affiché dans le menu contextuel
    --- créer une sous-sous-sous-clé de nom 'Command' comportant en valeur (Défaut)="C:\PrintDir.bat", le chemin complet du programme à exécuter.
  • Pour éviter qu'un double-clic sur un fichier .REG corresponde à Fusionner mais au contraire à Ouvrir :
    Accéder à la clé HKCR\regfile\shell et affecter la donnée "edit" à la valeur (Défaut).
  • Concernant les associations, on trouve dans HKCR, chacune des extensions ainsi que les clés correspondantes (en donnée de la valeur (Défaut)).
    On peut distinguer plusieurs clés remarquables :
    - * - tous les fichiers
    - Directory - tous les répertoires
    - Drive - toutes les unités
    - Folder - toutes les icônes des dossiers techniques du bureau
    - Unknown - les types de fichiers inconnus
    et quelques clés capitales (attaquées par des virus) :
    - exefile - correspondant à l'extension .EXE (tous les exécutables) - exécuter : ""%1" %*"
    - regfile - correspondant à l'extension .REG (pour réparer la base de registres) - fusionner : "regedit.exe "%1""
    - inffile - correspondant à l'extension .INF (pour réparer les .REG) - installer : "c:\windows\rundll.exe setupx.dll,InstallHinfSection DefaultInstall 132 %1"

     Registry -Lancement programmes (Run)

    15 clés
       1- HKCR\Software\Microsoft\Windows\CurrentVersion\Run
         (cf 4) (la catégorie 1 n'est pas affichée dans Msconfig -onglet Démarrage)
       2- HKCU\Software\Microsoft\Windows\CurrentVersion\Run ou RunOnce
         (cf 7 8) (la rubrique HKCU = Current User est la partie issue de HKU relative à l'utilisateur connecté)
       3- HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices ou RunServicesOnce
       4- HKLM\Software\CLASSES\Software\Microsoft\Windows\CurrentVersion\Run
         (cf 1) (la catégorie 4 n'est pas affichée dans Msconfig -onglet Démarrage)
       5- HKLM\Software\Microsoft\Windows\CurrentVersion\Run ou RunOnce ou RunOnceEx
       6- HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices ou RunServicesOnce
       7- HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run ou RunOnce
         (cf 2 8)
       8- HKU\{S-1-5-2165...}\Software\Microsoft\Windows\CurrentVersion\Run ou RunOnce
         (cf 2 7) (les clés 8 n'existent que dans les systèmes d'exploitation avec identités -profils- tel que W2K)
       . Chacune des clés peut être assortie d'une "clé-" par exemple HKCU\Software\Microsoft\Windows\CurrentVersion\Run-, correspondant aux éléments décochés dans la liste MSconfig.
       . Les Clés 1 & 4 fonctionnent de concert.
       . Les Clés 2, 7 & 8 fonctionnent de concert.
       . Les Clés 1 & 4 ne sont pas affichées dans Msconfig -onglet Démarrage.
       . Les éléments du répertoire C:\Windows\Menu Démarrer\Programmes\Démarrage servent aussi à lancer les programmes mais ne figurent pas dans la Registry. Les éléments désactivés de la liste MSconfig sont placés dans le répertoire dossier C:\Windows\Menu Démarrer\Programmes\Rubriques inactives du Démarrage

     Registry -Ajout-Suppression de Programmes

       - HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall (Ajout-Suppression de programmes)
       - HKCU\Software (Désinstaller un programme)
       - HKLM\Software (Désinstaller un programme)

     Registry -menu Démarrer/Programmes

       - HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\StartMenu\&Programs (menu Démarrer/Programmes)
    Les clés HKCU se retrouvent en HKU\.DEFAULT

     Registry -Panneau de configuration

       - HKCU\Control Panel

       - HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel
       - HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel
    Toutes les restrictions peuvent être désactivées en mettant 0 dans le DWORD, activées en mettant 1.
        valeur Advanced
        valeur AutoConfig
        valeur Cache
        valeur CalenderContact
        valeur Certificates
        valeur Check If Default
        valeur Colors
        valeur Connection Settings
        valeur Connection Wizard
        valeur Fonts
        valeur History
        valeur HomePage
        valeur Languages
        valeur Links
        valeur Messaging
        valeur Profiles
        valeur Proxy
        valeur Ratings
        valeur Wallet
    Les clés HKCU se retrouvent en HKU\SID et, en particulier HKU\.DEFAULT, s'il n'y a pas de profil.
    Pour les système avec profils, HKU\.DEFAULT contient les paramètres avant toute identification, par exemple, la langue et les leds du clavier.
    C'est ainsi que HKU\.DEFAULT\Control Panel\Keyboard, valeur InitialKeyboardIndicators accepte la valeur '2' pour NumLock activé ; '0' -en standard- pour NumLock désactivé.

     Registry -Evénements sons

       - HKCU\AppEvents\EventLabels

     Registry -Langue

    La langue française est la 40C (409 pour US, 809 pour UK, C09 pour Australia)
    Le code téléphonique est 33 (1 pour US, 44 pour UK)
       - HKCU\ControlPanel\Desktop\ResourceLocale, valeur (Défaut)= (Ws98)
       - HKCU\ControlPanel\International, valeur Locale= (Ws98 & W2K)
       - HKCU\Keyboard layout\Preload\1, valeur (Défaut)= (Ws98)
       - HKCU\Keyboard layout\Trayload, valeur (Défaut)= (W2K)
       - HKLM\Software\Microsoft\Internet Explorer, valeur ChannelLocale= (Ws98)
       - HKLM\Software\Microsoft\Windows\CurrentVersion\Nls\Locale MapIDs (Ws98 & W2K)
       - HKLM\Software\Microsoft\Windows\CurrentVersion\Setup\EBD\EBDConfigSysLocale (param Config.sys Ws98)
       - HKLM\System\CurrentControlSet\Control\Nls\Locale, valeur (Défaut)= (liste langues Ws98)
       - HKLM\System\CurrentControlSet\Control\keyboard layouts\0000040C (Ws98)
       - HKLM\System\CurrentControlSet\Current\Nls\Locale, valeur (Défaut)=
       - HKLM\System\ControlSet00x\Control\ContentIndex\Language (W2K)
       - HKLM\System\ControlSet00x\Control\Nls\Locale (liste W2K)
    Les clés HKCU se retrouvent en HKU\SID ou HKU\.DEFAULT

     Registry -Nom de la machine sur le réseau

       - HKCU\Software\Microsoft\Windows Media\WMSDK\General, valeur ComputerName
    Les clés HKCU se retrouvent en HKU\.DEFAULT
       - HKLM\System\CurrentControlSet\Control\ComputerName\ComputerName, valeur ComputerName
       - HKLM\System\CurrentControlSet\Services\VxD\VNetSup, valeur ComputerName

     Registry -Dernière connexion réseau

       - HKLM\Network\Logon, valeur Username
       - HKLM\System\CurrentControlSet\Control, valeur Current User

     Registry -RAS=Remote Access Service

       - HKCU\RemoteAccess\Addresses
       - HKCU\RemoteAccess\Profile
       - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections, Valeur
    Les clés HKCU se retrouvent en HKU\SID ou HKU\.DEFAULT

     Registry -FTP=File Transfer Protocol

       - HKCU\Software\Microsoft\Fp\Accounts\ftp:...
    Les clés HKCU se retrouvent en HKU\SID ou HKU\.DEFAULT

     Registry -Start Page IE

       - HKCU\Software\MicroSoft\Internet Explorer\Main, valeur Start Page
    Les clés HKCU se retrouvent en HKU\SID ou HKU\.DEFAULT

     Registry -Favoris IE

       - HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites
    Les clés HKCU se retrouvent en HKU\SID ou HKU\.DEFAULT

     Registry -Liste déroulante adresses IE

       - HKCU\Software\Microsoft\Internet Explorer\TypedURLs (URL de la liste déroulante d'IE)
    Les clés HKCU se retrouvent en HKU\.DEFAULT

     Registry -Connexions IE

    (voir RAS)
       - HKCU\RemoteAccess
    Les clés HKCU se retrouvent en HKU\.DEFAULT

     Registry -Personnalisations IE

  • Lorsque la connexion a été installée à partir d'un kit, pour supprimer la mention "fourni par..." affichée dans la barre de titre d'IE :
    - chercher la mention "fourni par ..." dans la Base de Registres,
    - sélectionner la valeur nommée "Window Title", dans la branche
       - HKLM\Software\Microsoft\Internet Explorer\Main
    - faire la même chose pour la barre de titre d'Outlook Express.
    On trouvera le logo du fournisseur d'accès dans :
       - HKCU\Software\Microsoft\Internet Explorer\Toolbar
    - supprimer les deux valeurs BrandBitmap et SmBrandBitmap.
  • Modifier la couleur du fond de la barre d'outils d'IE :
    - créer une image à l'aide de Paint (aucune contrainte de taille) et l'enregistrer au format BMP
       - HKCU\Software\Microsoft\Internet Explorer\Toolbar
    - Pour IE 5.x, créer une valeur chaîne BackBitmapIE5 et indiquer le chemin d'accès à l'image 'c:\windows\fond.bmp' par ex.
    - Pour IE 4 et 6, cette chaîne devra être appelée BackBitmap
  • Menu contextuel d'IE (éléments non standards) :
       - HKCU\Software\Microsoft\Internet Explorer\MenuExt, sousclé 'libellé' ; valeur=???, donnée=???

     Registry -MS-Outlook & OE=Outlook Express

       - HKCU\Identities
       - HKCU\Software\Microsoft\Internet Account Manager\Accounts\num.compte.OE, valeurs...
    Les clés HKCU se retrouvent en HKU\.DEFAULT
       - HKLM\Software\Microsoft\Protected Storage System Provider\identité\Data\...\...\http...
    Les clés HKCU se retrouvent en HKU\.DEFAULT

  • Lorsque la connexion a été installée à partir d'un kit, pour supprimer la mention "fourni par..." affichée dans la barre de titre d'OE :
    - chercher la mention "fourni par ..." dans la Base de Registre,
    - sélectionner la valeur nommée "Windows Title", dans la branche
    HKEY_CURRENT_USER\Identities\{XXXXX}\Software\Microsoft\Outlook Express\5.0
    - remplacer "Outlook Express fourni par ..." par "Outlook Express".
    - faire la même chose pour la barre de titre d'Internet Explorer
  • (MS-Outlook 2000)-Interdire l'ouverture de certaines pièces jointes :
       - HKLM\Software\Microsoft\Office\9.0\Outlook\Security
    - considérer les valeurs AddWarningFileTypes & RemoveWarningFileTypes
    - pour bloquer l'ouverture des fichiers Word et Excel, saisir "DOC ; XLS" dans AddWarningFileTypes

    Retour / Back   Top of page