Page 1 sur 21, 2 SuivantDiscrétion de la Famakey, Mostick ou aetraymenu

[p@py29]

Bonjour,
certains vont croire que je suis parano mais depuis que j'utilise Aetraymenu (après Framakey et en même temps Mostick pour les tests), je cherche toujours à savoir si les logiciels sont discrets.

Quelques uns le sont,aucunes traces ni dans applications data ni de clef de registre. Mais ce n'est pas pour cela que c'est discret !!!!


Et oui, en effet, je travaille dans une grosse boite qui est parano (ce sont des anglais lol). Nous avons (les employés) tous des PCs avec des droits restreints (c'est comme cela que j'ai connu Framakey, j'avais des besoin de logiciels que nous ne pouvons installer sous peine de tortures inhumaines). Et j'ai appris dernièrement, que lors de la connexion à son profil, le système scannait tout.

CAD, la base de registre, applications data, mes documents, etc..... ben oui comme je le dit ils sont paranos !!!!

Donc en cherchant un peu partout sur le net, car je suis loin d'être une fleche en système informatique, que les logiciels écrivaient dans des répertoires cachés comme aplli data (non sans blague) mais que lors du lancement, une liste était créée dans la base de registre, la fameuse MRUList.

En effet, tout ce qui a été lancé comme fichiers, des exe, pdf, txt etc... sont retranscrit dans cette MRUlist. et cela ce n'est pas discret.

Le seul logiciel que je connaisse qui supprime la MRUlist, openlist etc, c'est Ad-Aware. cela je viens de le tester ca marche nickel.

Mais le meilleur, c'est qu'il fonctionne en version portable et qu'il ne laisse aucune trace.


Donc si l'un d'entre vous peux faire des tests supplémentaires ou trouver un log qui fasse ce boulot en utilisant moins de ressources, je suis très intérressé.

[pyg]

Donc si l'un d'entre vous peux faire des tests supplémentaires ou trouver un log qui fasse ce boulot en utilisant moins de ressources, je suis très intérressé.

Je pense que ça doit être assez simple, voire tres simple, via un bête fichier .reg
(cf par exemple http://www.zebulon.fr/articles/base-de-registre-2.php )

En clair, il s'agit d'un simple fichier texte qui indique des actions a effectuer sur la BDR. Même pas besoin de soft

Je n'ai pas trop le temps de me pencher dessus aujourd'hui, mais je pense que qq1 d'autre devrait pouvoir te donner la marche à suivre.

PS : Ton parano d'admin a quand même oublié un truc s'il a laissé la possibilité de modifier la BDR, par contre (veinard, va ! )

[p@py29]

lol

en effet, notre admin, qui est une grosse boite de maintenance informatique, a bloqué l'accès à REGEDIT. je ne peux l'utiliser.


MAIS, hihihihi, un petit logiciel comme RegCMD passe outre cette interdiction et sans laisser de trace à part la date de modification de la base.

Sinon pour le fichier reg, je connais (un peu) mais pas pour effacer tout les répertoires que contient MRUlist.

un truc du style "[-hkey_current_user\*****\mrulist\*.*]", ce serait magnifique mais je ne sais pas comment faire malgré mes recherches.

Bon je viens de m'apercevoir que ce n'est pas mrulist mais runmru !!!!

[joshua]

Je pense que ça doit être assez simple, voire tres simple, via un bête fichier .reg
(cf par exemple http://www.zebulon.fr/articles/base-de-registre-2.php )

En clair, il s'agit d'un simple fichier texte qui indique des actions a effectuer sur la BDR. Même pas besoin de soft

ben voui, besoin de soft.. justement de regedit...

les .reg sont associé a regedit qui fais les fusions... donc, si accés a regedit bloqué, fusion bloquée aussi, donc, faut se servir d'un autre prog que regedit.exe...

deja, yen a un autre dans les NT, c'est regedt32...

mais bon, ça n'est qu'un fichiers de log la mru...

donc, le truc d'etre discret, c'est koi en fait? ne pas laisser de clé s'empiler au fur et a mesure dans un systeme alors qu'elles ne servent a rien au risque de finir par rendre un systeme instable? ou alors faire un trucs qui efface toute trace de son passage, et qui s'apparenterais presques avec les utilitaires apropriés a un outil de hack systeme??

vous voyez ce que je veut dire?

[p@py29]

Non justement la fusion n'est pas bloqué car j'ai déjà utilisé des fichiers reg pour supprimer des clefs.

Le soucis c'est que je ne connais pas la syntaxe pour supprimer plusieurs répertoires dans la base de registre.

[joshua]

Non justement la fusion n'est pas bloqué car j'ai déjà utilisé des fichiers reg pour supprimer des clefs.

Le soucis c'est que je ne connais pas la syntaxe pour supprimer plusieurs répertoires dans la base de registre.

http://www.robvanderwoude.com/index.html

voila m'sieur...

[p@py29]

Merci,
mais c'est comme ce que j'avais déjà trouvé sur la modif de la base de registre.

je ne sais pas si On peut effacer par exemple cette arboressence:

Code: Tout sélectionner

HKEY_USERS\S-1-5-21-1801674531-515967899-839522115-238169\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU\


avec le répertoire source

Code: Tout sélectionner

LastVisitedMRU

ou s'il faut déclarer toutes les clefs sous

Code: Tout sélectionner

LastVisitedMRU

pour les supprimer.


Je ne sais pas si je m'explique bien lol


Par contre, je reviens sur ce que j'ai dit sur le premier post, Ad-aware laisse un répertoire dans application data.

[sarkos]

Bonjour messieurs,
Très intéressant ce fil, car c'est effectivement le but recherché de la framakey : LA solution discrète !
Donc, je vous propose de me trouver les clés de registres EXACTES à effacer, de façon à ce que je vous développe un petit "nettoyeur" à l'aide de NSIS (héhé, enfin si ça contourne les limitations d'accès à regedit...).
Le but est de rendre la manip. transparente pour l'utilisateur, et fonctionnelle sur tous les postes, quelles que soient les restrictions de droits. De plus, je n'aime pas trop la solution du fichier .reg, flippante pour les noobs (affichage de la question sur la fusion dans la BDR "à la Windows", "qui fait très très peur" si on ne connait pas la bdr )
Je compte donc sur vous pour me transmettre vos infos sur le sujet, car, par manque de temps, je ne peux effectuer les recherches de clés de registre concernées pour cette manip.
Merci d'avance.

[joshua]

Bonjour messieurs,
Très intéressant ce fil, car c'est effectivement le but recherché de la framakey : LA solution discrète !

Le but recherché?

Entre eviter de poluer un hote, et effacer des logs, pas pareil...

Un peut comme si on tentais de hacker les serveurs du provider pour editer les logs et faire disparaitre toute trace de passage sur cette ligne internet sous pretexte de "discretion"....

Chuis pas sur que ça soit vraiment le but recherché...

Attention a la derive... developper des trucs qui vont faire plus qu'ils ne doivent, peut desservir le projet...

Quand je lance un simple executable dans mon poste, c'est logué, et c'est normal... si l'administrateur d'un domaine decide qu'il est important pour ce domaine que toutes les execution soient loguées et surveillées, on peut pas trop aller a l'encontre de ça...

Et toujours pareil, ceci n'engage que moi...

[sarkos]

Salut joshua,
Je n'ai pas été très clair dans mon précédent post. Je ne parle pas de détourner des droits, effacer des informations d'admin... La framakey n'est effectivement pas un outil de cracker ou autre, je suis bien d'accord.
Je parle juste d'un outil discret sur le poste hôte, afin que la framakey puisse fonctionner sur toutes les configurations, sans être "bloquée" ou "limitée" par des restrictions de droits. L'autre chose importante à mon sens, c'est de laisser un minimum de traces, justement pour ne pas alarmer les administrateurs, qui pourraient par la suite justement prendre des dispositions pour interdire l'utilisation de telles solutions nomades.
Les tests de fonctionnement de la Framakey doivent être concluants, selon moi, dans n'importe quel cybercafé, université, entreprise...
Si d'aventure, la Framakey ne fonctionnait que chez "les potes", avec les droits "admin", ce serait un peu dommage...