Titre

Trouver la clé de registre utilisée par un logiciel pour stocker un paramètre

Avec Procmon, comment trouver la clé de registre qui est utilisée par un programme pour stocker un paramètre, ce qui permettra par la suite de modifier les paramètres du programme via par exemple une GPO

Résumé des commandes utiles

Note : quand l'icône n'est pas cochée, la capture est en cours

Le filtre (Ctrl + L) sur l'opération
RegSetValue

permet de capturer les opérations d'écriture dans le registre

Lancez Procmon en tant qu'administrateur

Il est préférable d'accepter le contrat de licence

Vous allez arriver sur un écran où les logs défilent très vite et sont donc peu lisibles

Appuyez sur les touches Ctrl + E pour arrêter la capture en cours

Une autre combinaison de touche qu'il sera bon de connaitre est Ctrl+X, mais nous n'allons pas le faire tout de suite

On va retirer les évènements qui ne nous intéressent pas. Appuyez sur Ctrl+L ou allez dans le menu montré ci-dessous

Sauf si c'est votre cas, Explorer.exe n'est pas un processus qui nous intéresse. On va donc l'exclure en procédant comme montré ici

Il est maintenant dans la liste des exclusions comme montré ci-dessous

Après un appui sur Ok le filtre va s'appliquer

La vue va se mettre à jour sans Explorer.exe. On pourra continuer à exclure des process

On peut exclure svchost.exe

Comme ici on veut trouver un paramètre dans une clée de registre, on va commencer pas cliquez sur ces 3 boutons pour ne pas capturer les évènements sur les fichiers, le réseau et les process

Voila il ne reste plus que les évènements liés à la base de registre

Quand une écriture se fait dans la base de registre,c'est l'opération RegSetValue qui est utilisée

On peut donc ajouter dans la liste des filtres (Ctrl + L) une inclusion sur RegSetValue pour ne garder que ces évènements

On va continuer à filtrer. On constate ici que les éciture dans la clée Inventory nous polluent or on se doute que la valeur que l'on recherche n'y est pas

C'est une valeur du champ Path. On va exclure tout ce qui est relatif à cette clée

Concernant le réglage de ces paramètres

Juste avant sa modification, effacez les évènements précédemments capturés

Vérifiez également que la capture est bien en cours

Modifiez votre paramètre puis validez

Regardez les clés dans lesquelles une écriture a été effectuée. Après tâtonnement dans ce cas on trouvera que c'est la clé Configuration Model 000 qui stocke le paramètre qui nous intéresse

Notez que si vous voulez monitorer les échecs pour un problème de droits, filtrez sur
Result is ACCESS DENIED

Téléchargement(s)

NomSite Web d origineDescription
Procmon V2.8.ziphttp://technet.microsoft.com/f...Procmon de SysInternals

Article(s) précédent(s)

Article(s) en relation