Traces - Clés de la BDR encodées en ROT13

La vie du site, boîte à idées, feedback

Modérateur: Modérateurs et Modératrices

Traces - Clés de la BDR encodées en ROT13

Messagede Vazkor » 14 02 2007

Bonjour,

Certaines clés de la BDR sont encodées en ROT13

Voir http://didierstevens.wordpress.com/2006 ... re-joking/
L'auteur propose un petit programme (UserAssist 2.1.2.0, un exécutable de 80 Ko) pour examiner, voire éditer, tout cela, mais il n'est pas indispensable !
Il ne fonctionnera que si Microsoft .Net Framework 2.0 est installé (20 Mo à télécharger sinon).

Conclusion de l'auteur de l'article:
Reverse-Engineering the UserAssist entries was relatively easy, but I can’t explain why they are ROT13 encrypted!


Examinez donc la clé suivante:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Image UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Sur mon PC, dans regedit, en faisant défiler le panneau de droite avec PageDown, je compte seulement 51 écrans.
UserAssist 2.1.20 décode 1888 valeurs "camouflées" correspondant à 619 sessions (démarrages de Windows 2000 Pro) entre le 06/09/2005 et aujourd'hui, soit 17 mois !
Comme mouchard, on ne fait guère mieux !

Avec regedit, pour décoder un Nom de valeur (panneau de droite), sélectionner celui-ci, puis Modifier, copier son nom dans le presse-papier (Ctrl+C), Annuler et recopier le contenu (Ctrl+V) dans le formulaire d'une des pages suivantes
http://www.rot13.com/
http://rot13page.googlepages.com/

Exemples de Nom de valeur :
HRZR_EHACVQY:%pfvqy6%\Ubfgf-ba-Rgp.yax
UEME_RUNPIDL:%csidl6%\Hosts-on-Etc.lnk (décodé)

HRZR_EHACNGU:A:\Sversbk_nhk_crgvgf_bvtabaf\CbegnoyrSversbk\CbegnoyrSversbk.rkr
UEME_RUNPATH:N:\Firefox_aux_petits_oignons\PortableFirefox\PortableFirefox.exe (décodé)

Sont encore mémorisées des valeurs concernant des programmes que je sais avoir désinstallés depuis des mois et des liens vers des "Documents récents" qui n'existent plus !

Ceci complète les deux documents de Pierre
http://assiste.com.free.fr/p/abc/a/traces.php
http://assiste.com.free.fr/p/abc/a/trac ... races.html

ROT13 sur Wikipedia (notez que les liens externes sont différents):
http://en.wikipedia.org/wiki/ROT13 (en anglais)
http://fr.wikipedia.org/wiki/ROT13 (en français)
Avatar de l’utilisateur
Vazkor
 
Messages: 9752
Inscription: 05 11 2002
Localisation: Ans, BE

Messagede césar » 14 02 2007

Bonjour Vazkor,

Au même endroit, j'ai aussi une clé
{5E6AB780-7743-11CF-A12B-00AA004AE837}
, beaucoup moins garni.
A première vue, cette clé n'a l'air de ne concerner que IE (favoris cryptés en rot13, etc.)
Sur l'autre clé, je n'ai pas compté toutes les entrées, mais il y en a beaucoup, effectivement.
I can’t explain why they are ROT13 encrypted!


Moi non plus, et j'aimerais bien le savoir.

A noter que pour copier-coller le contenu, on peut aussi faire clic-droit renommer, au lieu de modifier. C'est plus court d'une demi-seconde.
Maintenant, la question c'est : peut-on éliminer tout ça sans risques ?
césar
 
Messages: 2467
Inscription: 21 12 2003

Messagede césar » 14 02 2007

césar a écrit:Maintenant, la question c'est : peut-on éliminer tout ça sans risques ?


MruBlaster les détruit, donc je suppose que la réponse est oui.

A noter, une astuce pour stopper définitivement ces logs

You dont need SS&D settings, or any other stuff. If you are all paranoid about these two Registry keys, you can disable logging PERMANENTLY by the following :

cmd>regedit> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\UserAssist
Right click the UserAssist key and choose New>Key
Name the new key Settings
Highlight the Settings key and in the right hand pane, right click a blank area and choose New>Dword value.
Name it NoLog then double click it and enter a value of 1.

After rebooting, no new entries should be added to UserAssist keys. It works on my XPHome. Try it and see.


Donc, faire clic-droit sur la clé "UserAssist" et sélectionner nouveau->clé
Créer une clé appelée "Settings"
Clic-droit sur cette nouvelle clé et créer une valeur Dword appelée "NoLog" à laquelle on donnera la valeur 1 en faisant clic-droit modifier (ou double click, c'est pareil).

Avec l'abnégation qui me caractérise, je me porte volontaire pour faire le cobaye.
Je viens de créer la clé et je vais redémarrer mon ordinateur, si jamais vous ne voyez plus, vous saurez ce que ça veut dire.
Adieu.
(ou à tout de suite).
césar
 
Messages: 2467
Inscription: 21 12 2003

Messagede pierre » 14 02 2007

Re,

3 heures qu'il nous a quitté

Je crois que le système de César et tout mouru :wink:

Lui aussi sans doute !

Adieu donc

Nous te manquerons :Mouaaarrrrffffffff: :D :p
Avatar de l’utilisateur
pierre
 
Messages: 23015
Inscription: 20 05 2002
Localisation: Ici et maintenant

Messagede césar » 14 02 2007

pierre a écrit:Nous te manquerons :Mouaaarrrrffffffff: :D :p


Salaud ! :twisted:

Eh bien, non, je suis là.
Ça a l'air de marcher, mais il faudra plusieurs jours pour rendre compte s'il n'y a pas d'effets secondaires.
Pour l'instant, il y a juste une clé qui a été rajouté, et depuis rien, malgré l'utilisation de quelques babioles ici et là.
L'ordre d'affichage du poste de travail était réglé sur "miniatures" au lieu de "grandes icônes", comme souvent quand j'utilise Mru-Blaster, à part ça, rien à signaler.
césar
 
Messages: 2467
Inscription: 21 12 2003


Messagede le gromleux » 17 02 2007

Bonjour,

j'ai été moi-même dans cette clé "UserAssist" ; d'emblée - ne reculant devant rien - j'ai supprimé les deux clés suivantes :

{75048700-EF1F-11D0-9888-006097DEACF9}

{5E6AB780-7743-11CF-A12B-00AA004AE837}

puis j'ai créé la sous-clé "NoLog" telle que décrite ci-dessus.
Redémarrage..

La clé "Settings" avec la valeur "NoLog" (= 1) sont bien là ; les 2 clés ( {75048700-EF1F-11D0-9888-006097DEACF9} et
{5E6AB780-7743-11CF-A12B-00AA004AE837} ) sont recréées ; chacune a la valeur "version" ( = 3 ) et une sous-clé "count" de valeur "HRZR_PGYFRFFVBA" qui semble rester à 0 ....

Rien d'autre pour l'instant !

Un lien pour prolonger l'échange ci-dessus UserAssist ; ce petit exécutable semble bien fonctionner . :wink:

@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 05 2004
Localisation: Naoned

Messagede Vazkor » 18 02 2007

Salut,

Ce petit programme UserAsssit.exe fonctionne bien, si vous avez la patience d'attendre 2 minutes qu'il veuille bien démarrer.
La première fois que j'ai voulu le lancer, croyant qu'il n'avait pas démarré, j'ai cliqué plusieurs fois en changeant les protections de Process Guard et j'ai ouvert ainsi 4 instances du programme.

Ce n'est pas lui qui est vraiment en cause. Il lui faut lancer le bloatware .NET Framework 2.0, une horreur de [auto-censuré], que j'avais (mal)heureusement déjà installé sur mon Windows 2000 pour utiliser un autre "chtit" programme (Le conjugueur_dotnet.exe 23 Mo).

You’ll need the .NET Framework 2.0 runtime to run my program (download it only if you have a problem running my program, if you have an up-to-date version of Windows XP, the .NET 2.0 Framework will already be installed).


Add/Remove Programs signale que .NET Framework 2.0 occupe 89.9 Mo !

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9752
Inscription: 05 11 2002
Localisation: Ans, BE

Messagede Vazkor » 18 02 2007

Re,

La question reste entière : pourquoi MS encode ces clés en utilisant une méthode aussi simple que le ROT13?

Si c'est pour les protéger des malware, cela doit être enfantin pour un hacker de les décoder, les modifier et les réencoder éventuellement.

Moi, je ne vois qu'une seule raison : cacher leur contenu aux yeux des utilisateurs normaux un peu trop curieux.
Même dérive qu'avec les "index.dat" difficiles à supprimer et qui sont recréés automatiquement.

Une fois qu'on a trompé ma confiance, c'est dur dur de la récupérer. J'arrive assez facilement à pardonner mais j'ai encore une bonne mémoire (quand je le veux bien).

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9752
Inscription: 05 11 2002
Localisation: Ans, BE

Messagede le gromleux » 18 02 2007

Bonsoir,

une fois faite la manip' que j'ai décrite ci-dessus, voilà ce que me donne UserAssist :

Image

ça a l'air de fonctionner :wink:

@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 05 2004
Localisation: Naoned

Suivante

Retourner vers Mises à jour du site

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité