Vous êtes au niveau: Accueil / N-PN White-Hat Project / Programmation / Langages interprétés / [Python] Lecture du registre Windows





  • STATISTIQUES
  • Il y a eu un total de 0 membres et 17038 visiteurs sur le site dans les dernières 24h pour un total de 17 038 personnes!
    Membres: 2 435
    Discussions: 3 585
    Messages: 32 832
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] hax.tor
    50 level de challenges mélangés
    Challenges
    [FR] PHP Débutant
    Apprendre le PHP par l'exemple, facilement et simplement. Réservé d'abord aux débutants....
    Programmation
    [EN] Net Force
    Javascript: 9, Java Applets: 6, Cryptography: 16, Exploits: 7, Cracking: 14, Programming: 13, Internet: 15, Steganograph...
    Challenges
    [FR] Microcontest
    Cryptographie: 7, Mathématiques: 8, Image Son Vidéo: 5, Intelligence artificielle: 3, Réseau: 2, Divers: 7, Phy...
    Challenges
    [EN] Astalavista
    JavaScript: 1, Exploit: 2, Crypto: 34, CrackIt: 15, Stegano: 8, Programming: 12, Logic: 36, Special: 6, Science: 4, Info...
    Challenges
    [FR] Developpez.net
    Un forum communautaire qui se veut pour les développeurs en générale. Avec presque 500 000 membr...
    Programmation
    [EN] Dare your mind
    JavaScript: 6, Crypto: 44, Stegano: 36, Logic: 13, Special: 27, Science: 11, Realistic: 7, Programming: 10, Crack It: 6,...
    Challenges

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Affichage hiérarchique
[Python] Lecture du registre Windows
21-07-2012, 16h47 (Modification du message : 08-12-2012, 17h12 par supersnail.)
Message : #1
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,614
Sujets : 72
Points: 466
Inscription : Jan 2012
[Python] Lecture du registre Windows
Bonjour à tous,

Je partage ici une petite bibliothèque python qui permet de parser les fichiers de registre (habituellement situés dans c:\windows\system32\config ), ce qui peut être intéressant dans le cas d'une analyse forensique (analyse d'un PC "post-mortem"), depuis un live-cd (ou une clé bootable) Linux.

Vous pouvez la télécharger ici: https://github.com/williballenthin/python-registry

J'en ai profité pour concevoir 2 petits scripts utilisant cette bibliothèque pour extraire les services lancés au démarrage et pour détecter les BHOs d'Internet Explorer/Explorateur Windows (veuillez m'excuser pour le manque de commentaires, c'est pas mon point fort ^^).

Le code pour lister les services installés:

Code PYTHON :
#!/usr/bin/python2

import sys
from Registry import *

if len(sys.argv) != 2:
    print "Usage: " + sys.argv[0] + " <path to 'config\system'>"
else:
    try:
        reg = Registry.Registry(sys.argv[1])
        key = reg.open("Select")
        ctrlset = key.value("Current").value() # récupère le control set utilisé par Windows
    except Exception:
        print "[-] This is not the system file ! (or this file is corrupted)"
        sys.exit(0)
    key = reg.open("ControlSet00" + str(ctrlset) + "\Services")
    for svc in key.subkeys():
        try:
            path = svc.value("ImagePath").value()
            print "----------------"
            print "Path: " + path
            print "Display name: " + svc.value("DisplayName").value()
        except Exception:
            ()
 


Le code pour lister les BHO:
Code PYTHON :
#!/usr/bin/python2

import sys
from Registry import *


def print_bhos(reg, keyname):
    key = reg.open(keyname)
    for bho in key.subkeys():
        try:
            dllname = reg.open("Classes\CLSID\\" + bho.name() + "\InprocServer32")
            print dllname.value("").value()
        except Registry.RegistryKeyNotFoundException:
            print "DLL not found"

if len(sys.argv) != 2:
    print "Usage: " + sys.argv[0] + " <path to 'config\software'>"
else:
    reg = Registry.Registry(sys.argv[1])
    print_bhos(reg, "Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects")
    print_bhos(reg, "Microsoft\Internet Explorer\Toolbar")
    print_bhos(reg, "Microsoft\Internet Explorer\Explorer Bars")
    print_bhos(reg, "Microsoft\Internet Explorer\Extensions")


Enjoy :þ
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
Site web
+1 (1) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  [Python]Situer mon niveau. InforMods 19 5,622 10-11-2016, 00h03
Dernier message: ZeR0-@bSoLu
  [PYTHON] un bot IRC basique darcosion 1 1,050 13-06-2016, 20h40
Dernier message: Yttrium
  [python] ANBU ::: TCP Session Hunter St0rn 2 1,286 25-02-2016, 18h45
Dernier message: otherflow
  [Python] Une autre façon de gérer les Virtualenv et Packages thxer 2 1,096 18-01-2016, 12h06
Dernier message: thxer
  [Python] rot script ark 9 2,750 08-03-2015, 00h37
Dernier message: ark
  [Python] Todo Manager ark 5 1,703 03-03-2015, 10h55
Dernier message: ark
  [python] Un décorateur pour inventorier les objets b0fh 1 1,222 04-12-2014, 17h50
Dernier message: thxer
  [python] UPnP Scanner St0rn 2 1,143 29-10-2014, 14h50
Dernier message: St0rn
  [python] Buffer Overflow : EBP et EIP St0rn 0 805 25-10-2014, 12h58
Dernier message: St0rn
  [Python] QuickHex thxer 9 2,530 15-08-2014, 20h26
Dernier message: sakiir

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut