Trouver la clé de registre utilisée par un logiciel pour stocker un paramètre
Avec Procmon, comment trouver la clé de registre qui est utilisée par un programme pour stocker un paramètre, ce qui permettra par la suite de modifier les paramètres du programme via par exemple une GPO
Résumé des commandes utiles
Ctrl + E pour arrêter la capture en cours
Ctrl + X pour effacer l'écran
Ctrl + L pour accéder aux filtres
Operation is RegSetValue pour ne voir que les écritures dans le registre
Note : quand l'icône n'est pas cochée, la capture est en cours
Le filtre (Ctrl + L) sur l'opération
RegSetValue
permet de capturer les opérations d'écriture dans le registre
Lancez Procmon en tant qu'administrateur
Il est préférable d'accepter le contrat de licence
Vous allez arriver sur un écran où les logs défilent très vite et sont donc peu lisibles
Appuyez sur les touches Ctrl + E pour arrêter la capture en cours
Une autre combinaison de touche qu'il sera bon de connaitre est Ctrl+X, mais nous n'allons pas le faire tout de suite
On va retirer les évènements qui ne nous intéressent pas. Appuyez sur Ctrl+L ou allez dans le menu montré ci-dessous
Sauf si c'est votre cas, Explorer.exe n'est pas un processus qui nous intéresse. On va donc l'exclure en procédant comme montré ici
Il est maintenant dans la liste des exclusions comme montré ci-dessous
Après un appui sur Ok le filtre va s'appliquer
La vue va se mettre à jour sans Explorer.exe. On pourra continuer à exclure des process
On peut exclure svchost.exe
Comme ici on veut trouver un paramètre dans une clée de registre, on va commencer pas cliquez sur ces 3 boutons pour ne pas capturer les évènements sur les fichiers, le réseau et les process
Voila il ne reste plus que les évènements liés à la base de registre
Quand une écriture se fait dans la base de registre,c'est l'opération RegSetValue qui est utilisée
On peut donc ajouter dans la liste des filtres (Ctrl + L) une inclusion sur RegSetValue pour ne garder que ces évènements
On va continuer à filtrer. On constate ici que les éciture dans la clée Inventory nous polluent or on se doute que la valeur que l'on recherche n'y est pas
C'est une valeur du champ Path. On va exclure tout ce qui est relatif à cette clée
Concernant le réglage de ces paramètres
Juste avant sa modification, effacez les évènements précédemments capturés
Vérifiez également que la capture est bien en cours
Modifiez votre paramètre puis validez
Regardez les clés dans lesquelles une écriture a été effectuée. Après tâtonnement dans ce cas on trouvera que c'est la clé Configuration Model 000 qui stocke le paramètre qui nous intéresse
Notez que si vous voulez monitorer les échecs pour un problème de droits, filtrez sur
Result is ACCESS DENIED
Téléchargement(s)
| Nom | Site Web d origine | Description |
|---|---|---|
| Procmon V2.8.zip | http://technet.microsoft.com/f... | Procmon de SysInternals |
Article(s) précédent(s)