Discussion :

[Michaël]

bonjour,
je voudrais lire (juste lire, pas écrire) la base de registre windows à partir d'un linux (le premier qui trolle ). je ne peux donc pas passer par l'api windows.

or tous les exemples que je trouve utilisent cette api (logique !). est-ce qu'il est possible de faire sans ? je me doute de la réponse mais j'essaie quand même de vous poser la question
est-ce que le format de la base de registre est connu ou pas ? genre fichier texte compressé ou quelque chose comme ça ? si oui, je me débrouillerais à lire comme ça

[Neitsa]

Bonjour,

sous Windows la base de registres est scindée en plusieurs fichiers (appelés "hives") contenus dans le répertoire %systemroot%\system32\config.

On ne peut pas les ouvrir depuis Widows (ils sont bien sûr protégés) mais ç'est bien sûr possible depuis linux (pour peu qu'un module pour le support NTFS au moins en lecture soit présent).

Ensuite le format des hives n'est pas documenté... Je viens de regardé chez moi et il semblerait que ça soit directement en binaire, mais apparament pas crypté car on retrouve des mots lisibles (clé, valeur, etc.) surtout dans la partie software.

Pour ce qui est du format, il faudra extrapoler à partir de ce que tu as sous Regedit et ce que tu vois dans un éditeur hexadécimal, c'est à mon avis le seul moyen d'y parvenir (si ce n'est faire de la rétro-ingénirie sur les fonctions de la base de registre de l'API windows) .

Attention tout de même à la corruption de la BDR si tu tentes d'y écrire ou de la modifier. Bon courage en tout cas

[soazig]

Bonjour,
Peut-être trouveras-tu ton bonheur ici http://www.wotsit.org/search.asp?page=3&s=windows
C'est un site qui décrit les formats des fichiers et il y a une entrée :

Windows Registry Files system.dat and user.dat (and CONFIG.POL format)

J'espère que cela t'aidera.
Cordialement
Soazig

[Michaël]

je vais voir avec le lien et la lecture directe.

je ne compte pas écrire dedans donc pas de risque
je vous tiendrais au courant de l'évolution de tout ça

[David.Schris]

Bonjour,

Pour le format de la base de registre, tu peux faire comme tout le monde ( ) et commencer par ça : http://home.eunet.no/pnordahl/ntpasswd/WinReg.txt.
Ensuite, si tu ne veux pas tout faire tout seul, tu peux jeter un oeil au code source qui est sur le même site : http://home.eunet.no/pnordahl/ntpass...rce-040818.zip.

Tu remarqueras que les choses sont plutôt bien faites : tu veux écrire un "offline registry editor" et le site vers lequel pointent les liens que j'ai donnés est le premier de la liste quand on demande gentiment à (<-- lien)...

Cordialement,
DS.

[Michaël]

bonjour,
je n'ai pas pensé à ces mots clés, mon but n'étant pas d'éditer mais simplement de lire


j'en prend note tout de même

[David.Schris]

bonjour,
je n'ai pas pensé à ces mots clés, mon but n'étant pas d'éditer mais simplement de lire

Bonjour,

Dans ce cas, tu avais http://www.google.be/search?q=offline+registry+viewer qui renvoyait "http://demarzo.net/archive/2004/06/25/211.aspx" comme premier résultat, page qui contient des liens vers le site précédemment cité

Trêve de plaisanteries : bon courage pour ce projet et pense à nous tenir au courant de tes résultats.

Cordialement,
DS.

[Aurelien.Regat-Barrel]

C'est documenté dans le Windows Internals:
http://windows.developpez.com/livres/#L0735619174
ça a du être recodé dans Wine / ReactOS. Mais à mon avis c'est un bon moyen de flinguer ton Windows depuis Linux.

[Michaël]

pourquoi ce serait un bon moyen de tout flinguer ?

[Aurelien.Regat-Barrel]

je voudrais lire (juste lire, pas écrire)

La prochaine fois je lirai tout

[Michaël]

j'ai avancé avec le "offline registry editor"
j'ai pris les fichiers ntreg.*, ajouté une fonction main dans ntreg.c, corrigé les erreurs contenues dans le code et j'arrive à ouvrir la base de registre, voir le nombre de page, etc.

j'ai pas encore lu les clés, je ferais ça demain après une bonne nuit de sommeil