Vous êtes au niveau: Accueil / N-PN White-Hat Project / Programmation / Langages interprétés / [Python] Lecture du registre Windows





  • STATISTIQUES
  • Il y a eu un total de 2 membres et 3214 visiteurs sur le site dans les dernières 24h pour un total de 3 216 personnes!


    Membres: 2 445
    Discussions: 3 588
    Messages: 32 835
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [FR] dcode
    dcode.fr est le site indispensable pour décoder des messages, tricher aux jeux de lettres, résoudre des énigmes...
    Outils / Add-on
    [FR] Secuser
    Actualité de la sécurité informatique, fiches virus et hoax, alertes par email, antivirus gratui...
    Hacking
    [EN] phrack
    Lot's of stuff !
    Hacking
    [EN] Hack this site
    Basic: 11, Realistic: 17, Application: 18, Programming: 12, Extbasic: 14, Javascript: 7, Stego: 17
    Challenges
    [FR] InfoMirmo
    Apprentissage de l'informatique par l'intermédiaire de challenges de sécurité. Venez app...
    Hacking
    [EN] Framework Metasploit
    Le Framework Metasploit est un logiciel gratuit, open source de tests de pénétration développ&ea...
    Vulnérabilités
    [EN] Dare your mind
    JavaScript: 6, Crypto: 44, Stegano: 36, Logic: 13, Special: 27, Science: 11, Realistic: 7, Programming: 10, Crack It: 6,...
    Challenges

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Affichage hiérarchique
[Python] Lecture du registre Windows
21-07-2012, 16h47 (Modification du message : 08-12-2012, 17h12 par supersnail.)
Message : #1
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,614
Sujets : 72
Points: 466
Inscription : Jan 2012
[Python] Lecture du registre Windows
Bonjour à tous,

Je partage ici une petite bibliothèque python qui permet de parser les fichiers de registre (habituellement situés dans c:\windows\system32\config ), ce qui peut être intéressant dans le cas d'une analyse forensique (analyse d'un PC "post-mortem"), depuis un live-cd (ou une clé bootable) Linux.

Vous pouvez la télécharger ici: https://github.com/williballenthin/python-registry

J'en ai profité pour concevoir 2 petits scripts utilisant cette bibliothèque pour extraire les services lancés au démarrage et pour détecter les BHOs d'Internet Explorer/Explorateur Windows (veuillez m'excuser pour le manque de commentaires, c'est pas mon point fort ^^).

Le code pour lister les services installés:

Code PYTHON :
#!/usr/bin/python2

import sys
from Registry import *

if len(sys.argv) != 2:
    print "Usage: " + sys.argv[0] + " <path to 'config\system'>"
else:
    try:
        reg = Registry.Registry(sys.argv[1])
        key = reg.open("Select")
        ctrlset = key.value("Current").value() # récupère le control set utilisé par Windows
    except Exception:
        print "[-] This is not the system file ! (or this file is corrupted)"
        sys.exit(0)
    key = reg.open("ControlSet00" + str(ctrlset) + "\Services")
    for svc in key.subkeys():
        try:
            path = svc.value("ImagePath").value()
            print "----------------"
            print "Path: " + path
            print "Display name: " + svc.value("DisplayName").value()
        except Exception:
            ()
 


Le code pour lister les BHO:
Code PYTHON :
#!/usr/bin/python2

import sys
from Registry import *


def print_bhos(reg, keyname):
    key = reg.open(keyname)
    for bho in key.subkeys():
        try:
            dllname = reg.open("Classes\CLSID\\" + bho.name() + "\InprocServer32")
            print dllname.value("").value()
        except Registry.RegistryKeyNotFoundException:
            print "DLL not found"

if len(sys.argv) != 2:
    print "Usage: " + sys.argv[0] + " <path to 'config\software'>"
else:
    reg = Registry.Registry(sys.argv[1])
    print_bhos(reg, "Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects")
    print_bhos(reg, "Microsoft\Internet Explorer\Toolbar")
    print_bhos(reg, "Microsoft\Internet Explorer\Explorer Bars")
    print_bhos(reg, "Microsoft\Internet Explorer\Extensions")


Enjoy :þ
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
Site web
+1 (1) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  [Python]Situer mon niveau. InforMods 19 8,247 10-11-2016, 00h03
Dernier message: ZeR0-@bSoLu
  [PYTHON] un bot IRC basique darcosion 1 1,460 13-06-2016, 20h40
Dernier message: Yttrium
  [python] ANBU ::: TCP Session Hunter St0rn 2 1,774 25-02-2016, 18h45
Dernier message: otherflow
  [Python] Une autre façon de gérer les Virtualenv et Packages thxer 2 1,574 18-01-2016, 12h06
Dernier message: thxer
  [Python] rot script ark 9 4,007 08-03-2015, 00h37
Dernier message: ark
  [Python] Todo Manager ark 5 2,478 03-03-2015, 10h55
Dernier message: ark
  [python] Un décorateur pour inventorier les objets b0fh 1 1,661 04-12-2014, 17h50
Dernier message: thxer
  [python] UPnP Scanner St0rn 2 1,643 29-10-2014, 14h50
Dernier message: St0rn
  [python] Buffer Overflow : EBP et EIP St0rn 0 1,121 25-10-2014, 12h58
Dernier message: St0rn
  [Python] QuickHex thxer 9 3,607 15-08-2014, 20h26
Dernier message: sakiir

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut