Vous êtes au niveau: Accueil / N-PN White-Hat Project / Programmation / Langages interprétés / [Python] Lecture du registre Windows






  • STATISTIQUES
  • Il y a eu un total de 0 membres et 7700 visiteurs sur le site dans les dernières 24h pour un total de 7 700 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Reddit
    Subreddit dédié à la sécurité informatique.
    Hacking
    [FR] Forum-Webmaster
    Une communauté webmaster pour apporter / recevoir de l'aide en création de site internet. Webmaster...
    Webmaster
    [EN] HackQuest
    Logic: 12, JavaScript: 14, Applet: 6, CrackIt: 13, Crypto: 11, Internet: 3, Exploit: 7, Stegano: 12, Flash: 1, Programmi...
    Challenges
    [FR] PHP France
    Pour tout savoir sur le PHP, en français. Vous trouverez des tutoriels, des exemples, des astuces, toute la do...
    Hacking
    [EN] osix
    Site de challenge qui utilise un système de level on chaque épreuve doit être réussie avant d'accédÃ...
    Challenges
    [EN] Hack This Site
    Hack This Site est considéré comme un réel terrain d'entraînement légal pour le...
    Hacking
    [FR] Le site du zero
    Découvrez gratuitement la programmation (C, C++, PHP, MySQL, XHTML, CSS...), Linux, le Mapping, la modé...
    Programmation

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!

    €



Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Affichage hiérarchique
[Python] Lecture du registre Windows
21-07-2012, 16h47 (Modification du message : 08-12-2012, 17h12 par supersnail.)
Message : #1
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
[Python] Lecture du registre Windows
Bonjour à tous,

Je partage ici une petite bibliothèque python qui permet de parser les fichiers de registre (habituellement situés dans c:\windows\system32\config ), ce qui peut être intéressant dans le cas d'une analyse forensique (analyse d'un PC "post-mortem"), depuis un live-cd (ou une clé bootable) Linux.

Vous pouvez la télécharger ici: https://github.com/williballenthin/python-registry

J'en ai profité pour concevoir 2 petits scripts utilisant cette bibliothèque pour extraire les services lancés au démarrage et pour détecter les BHOs d'Internet Explorer/Explorateur Windows (veuillez m'excuser pour le manque de commentaires, c'est pas mon point fort ^^).

Le code pour lister les services installés:

Code PYTHON :
#!/usr/bin/python2

import sys
from Registry import *

if len(sys.argv) != 2:
    print "Usage: " + sys.argv[0] + " <path to 'config\system'>"
else:
    try:
        reg = Registry.Registry(sys.argv[1])
        key = reg.open("Select")
        ctrlset = key.value("Current").value() # récupère le control set utilisé par Windows
    except Exception:
        print "[-] This is not the system file ! (or this file is corrupted)"
        sys.exit(0)
    key = reg.open("ControlSet00" + str(ctrlset) + "\Services")
    for svc in key.subkeys():
        try:
            path = svc.value("ImagePath").value()
            print "----------------"
            print "Path: " + path
            print "Display name: " + svc.value("DisplayName").value()
        except Exception:
            ()
 


Le code pour lister les BHO:
Code PYTHON :
#!/usr/bin/python2

import sys
from Registry import *


def print_bhos(reg, keyname):
    key = reg.open(keyname)
    for bho in key.subkeys():
        try:
            dllname = reg.open("Classes\CLSID\\" + bho.name() + "\InprocServer32")
            print dllname.value("").value()
        except Registry.RegistryKeyNotFoundException:
            print "DLL not found"

if len(sys.argv) != 2:
    print "Usage: " + sys.argv[0] + " <path to 'config\software'>"
else:
    reg = Registry.Registry(sys.argv[1])
    print_bhos(reg, "Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects")
    print_bhos(reg, "Microsoft\Internet Explorer\Toolbar")
    print_bhos(reg, "Microsoft\Internet Explorer\Explorer Bars")
    print_bhos(reg, "Microsoft\Internet Explorer\Extensions")


Enjoy :þ
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
Site web
+1 (1) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  [Python]Situer mon niveau. InforMods 19 1,382 10-11-2016, 00h03
Dernier message: ZeR0-@bSoLu
  [PYTHON] un bot IRC basique darcosion 1 200 13-06-2016, 20h40
Dernier message: Yttrium
  [python] ANBU ::: TCP Session Hunter St0rn 2 302 25-02-2016, 18h45
Dernier message: otherflow
  [Python] Une autre façon de gérer les Virtualenv et Packages thxer 2 192 18-01-2016, 12h06
Dernier message: thxer
  [Python] rot script ark 9 638 08-03-2015, 00h37
Dernier message: ark
  [Python] Todo Manager ark 5 443 03-03-2015, 10h55
Dernier message: ark
  [python] Un décorateur pour inventorier les objets b0fh 1 217 04-12-2014, 17h50
Dernier message: thxer
  [python] UPnP Scanner St0rn 2 242 29-10-2014, 14h50
Dernier message: St0rn
  [python] Buffer Overflow : EBP et EIP St0rn 0 164 25-10-2014, 12h58
Dernier message: St0rn
  [Python] QuickHex thxer 9 610 15-08-2014, 20h26
Dernier message: sakiir

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut