Scanner le registre en temps réelRésolu

Question

Violent Ken

Salut !
Comment est-ce qu'on pourrait faire pour surveiller toutes les op&#233;rations faites sur la base de registre ? Comment cr&#233;er un *.log qui donne les informations de quel programme a lu/cr&#233;&#233;/&#233;crit dans telle ou telle cl&#233; &#224; quelle heure (en analysant les entr&#233;es/sorties du registre en temps r&#233;el) ?
Merci,@+

BruNews · Accepted Answer

Tiens jette un oeil ici pour t'en convaincre, il y a une description sommaire du fonctionnement logiciel.
http://www.sysinternals.com/Utilities/Regmon.html

ciao...
BruNews, MVP VC++

BruNews · Answer

Pas du sport pour vb tout cela, il faut faire un driver d'interception des appels au service registres.

ciao...
BruNews, MVP VC++

violent_ken · Answer

Violent Ken

Ola !!
Qu'est ce que c'est que &#231;&#224;?  C'est vraiment impossible en VB ?
@+

BruNews · Answer

Eh oui, comme tout ce qui est prog systeme.

ciao...
BruNews, MVP VC++

violent_ken · Answer

Violent Ken

Ok. Bah au moins c'est clair.
@+

violent_ken · Answer

Violent Ken

Uhm. Oui, effectivement.
Bah en tout cas merci pour l'info, et merci d'avoir r&#233;pondu si rapidement.
@+

draluorg · Answer

Salut a tous,
Eh bin c'est impossible mais je l'ai fais  lol
Il ne suvrveille pas toutes les cles mais en surveille deja plus de 400
je suis encore entrain de le paufiner il est pas dutout fini mais il est deja operationnel
http://www.keohosting.net/system/images/SetupReg-Notify.zip
A ne tester que sous XP car les cles surveillees lui sont propre!

@+

Quand on pose une question on est con 5 minutes,
Quand on ne la pose pas on le reste toute sa vie...

BruNews · Answer

En restant en mode user on ne capte ni ce qui est modifi&#233; par service system ni (encore moins) par driver, ni etc...

Avec un driver qui change les imports table, on n'a pas &#224; s'occuper de cl&#233; sp&#233;cifique ou non et TOUT sera intercept&#233;. C'est la seule voie &#224; suivre pour un monitoring complet de la BDR.

ciao...
BruNews, MVP VC++

draluorg · Answer

Salut Brunews,
Eh as tu teste le soft ? Pcq je vois pas le rapport la methode utilisee est RegNotifyChangeKeyValue et quelque soit le processus qui modifie la cle la modification est notifiee!
De plus par securite il fais un dernier scan a la fermeture de Windows( mais bon hors sujet)
Maintenant il est clair que la methode que tu suggere est bien plus efficace et tout et tout...
Mais comme tu le dis on ne peux pas le faire en VB6 (enfin suis pas sur mais bon)
Mais le truc c'est que je suis pas sur que  scanner toute la ndr soit utile a partir du moment ou on sait les cles que l'on veut surveiller...
Perso je suis un gros amateur en programation et mon soft jusque la fonctionne relativement bien, donc j'ose meme pas imaginer ce qu' un programmeur comme toi ou EB  aurait pu faire en vb6...

Quand on pose une question on est con 5 minutes,
Quand on ne la pose pas on le reste toute sa vie...

BruNews · Answer

violent_ken a demand&#233; un log de toute la BDR, avec RegNotifyChangeKeyValue &#231;a monopolise beaucoup trop de ressources system.
La modif import table a l'&#233;norme avantage de ne pas avoir &#224; scanner la BDR, on re&#231;oit les params de tout module tentant acc&#232;s &#224; la BDR et ainsi on a juste &#224; lire ce qui se trouvait &#224; l'endroit cibl&#233; et ce qui va s'y mettre, rien de plus.
A part quelques lignes pour d&#233;mo d'une dll, je ne fais jamais de prog en vb, c'est trop lent, trop limit&#233; et non distribuable sans des tonnes de runtime.

ciao...
BruNews, MVP VC++

draluorg · Answer

Yep tu as raison sur pas mal de points.

Mais pour moi si il veut surveiller la bdr c'est quand meme dans un but de securite non ?
(enfin je vois pas d'autres raison)
donc on doit quand meme savoir ce que l'on veut intercepter, meme via ta methode, donc c'est vrai tu ne devra pas scanner la cle, pour savoir laquelle de ses valeurs a ete modifiee mais tu devra quand meme verifier si c'est a une cle de ta liste qu'on veut acceder, et le fait qu'il y des acces sans cesse a la bdr, je suis pas sur que ton code ne finisse pas pas tourner a 100 % cpu non stop... 
Tandis que avec ma methode la consomation cpu est de 0% tant que une des cle que l'on surveille n'est pas modifiee
Now si j'avais pu, je l'aurai fais en C mais on fais pas ce qu'on veut :(

Quand on pose une question on est con 5 minutes,
Quand on ne la pose pas on le reste toute sa vie...

BruNews · Answer

Un driver est mapp&#233; une seule fois dans le system et son code est appel&#233; quand les events pour lesquels il s'est enregistr&#233; interviennent, rien de plus.

ciao...
BruNews, MVP VC++

draluorg · Answer

Eh la je comprends pas trop mais je te crois sur parole et je m'incline ;)
Mais je jetterai pas mon soft a la poubelle na! lol
Desole pour la perte de temps occasionnee
@+ et bonne prog

Quand on pose une question on est con 5 minutes,
Quand on ne la pose pas on le reste toute sa vie...

violent_ken · Answer

Violent Ken

Salut !
J'&#233;tais pas l&#224; ce samedi, j'arrive que maintenant...
>draluorg : j'ai r&#233;l&#233;charg&#233; ton programme, et je l'essaierai demain, promis. C'est bien pour un "but de s&#233;curit&#233;" que je cherchais &#224; faire &#231;&#224;. Cela dit, Brunews a raison, avec la m&#233;thode (un peu obscure pour moi) du driver, on scanne chaque entr&#233;e/sortie, sans avoir de "liste" &#233;tablie des cl&#233;s &#224; v&#233;rifier. Toutes les cl&#233;s sont "scann&#233;es" en temps r&#233;el. Et on ne sait pas r&#233;&#233;llement ce que l'on veut scanner avant d'avoir scann&#233;, on cherche plut&#244;t &#224; &#233;tablir la liste de toutes les cl&#233;s utilis&#233;es par tel ou tel programme etc..
Et je ne pense pas que &#231;&#224; bouffe 100% d'UC, bien que VB soit lent (d'ailleurs c'est pas sur que ce soit possible en VB..).
Enfin, en tout cas, je vais voir la source demain, merci  pour le lien !
Merci pour vos r&#233;ponses, @+

draluorg · Answer

Salut Violent Ken,

Eh bin en fait je ne sais pas si tu as essaye Regmon de Systernals (le lien de BruNews) mais cela confirme un peu ma theorie.
Si tu intercepte toutes modification tu vas devoir envoyer msgbox sur msgbox!
Je travail en ce moment avec une equipe de professionnel de la securite informatique, qui font des recherches tous les jours sur les cles utilisees pas les Malware etc...
En fait il faut bien se dire que une Bdr sous XP fais minimum 30 Mo (grand minimum) parfois jusqu'a 100 Mo!
Je te laisse compter le nombre de cles...
Alors que en comptant les cles policy (cles de restriction systeme qui n'existent pas par defaut) + les cles succeptibles (Run, param IE, Winlogon, shell\command etc...) on arrive a un grand maximum de 600 cles.
De plus, tu ne peux pas afficher la meme alerte pour un redimesionnement de fenetre qui serait enregistrer dans la bdr (genre Window Placement de IE) que pour un soft qui s'enregistre pour se lancer au demarrage de Windows.
Donc que ce soit en C via la methode comseille pas BruNews ou en vb selon ma methode, tu es quand meme oblige de referencer tes cles.
Remarque, tu peux tjs essayer selon la methode de EbAtrSoft en interceptant RegOpenKey RegOpenKeyEx RegSetValue etc.. mais je te souhaite dans ce cas bien du courrage lol
Desole pour le roman ms la  bdr est un sujet qui me passionne :)
@+

Quand on pose une question on est con 5 minutes,
Quand on ne la pose pas on le reste toute sa vie...

violent_ken · Answer

Violent Ken


Salut !
J'ai en effet essay&#233; Regmon, et oui, le nombre de cl&#233;s modifi&#233;es chaque seconde est impressionnant. Il faut, bien entendu, savoir exploiter ces r&#233;sultats, (par exemple voir les 500 cl&#233;s auquelles a acc&#233;d&#233; un programme suspect), mais l'avantage est de pouvoir "enti&#232;rement" surveiller sa bdr. Cela dit, les logiciels antispyware temps r&#233;el (tea timer , ad-watch) ne scrutent que certaines cl&#233;s. Donc la m&#233;thode "suffit" largement pour pouvoir monter un prog. de s&#233;curit&#233;. Encore faut-il savoir quelles cl&#233;s surveiller...
@+

draluorg · Answer

Re,
Exactement ;)
Mais le Tea-Timer de Spybot n'est pas vraiment une refence a prendre, et a l'heure actuelle, sa surveillance de la bdr n'est plus du tout suffisante de memoire je pense qu'il ne surveille que 28 valeurs...
Tu trouvera deja + 400 cles dans mon soft ouvre le fichier .lst avec notepad ;)
Pour le reste il faut faire de longues et fastideuses recherches... 

Quand on pose une question on est con 5 minutes,
Quand on ne la pose pas on le reste toute sa vie...

Scanner le registre en temps réel

17 réponses

Discussions similaires