Base de registre

Le
Joël André
Bonsoir à tous,

Désolé si je n'utilise pas les bonnes définitions, mais j'essaie de
comprendre.

Dans la base de registres, en HKey_Classes_Root, Windows, CurrentVersion,
Internet Setup, ZoneMap, EscDomains, se trouvent plusieurs centaines de noms
de sites dont les clés sont toutes à la valeur 0x00000040 (4).

D'après les noms de certains d'entre eux, je suppose que c'est la liste des
sites à risque?

Comment est-elle utilisée? Par qui?

Merci pour vos explications et votre temps.

Joël
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le Novice °¿°
Le #19612151
Joël André wrote:
Bonsoir à tous,

Désolé si je n'utilise pas les bonnes définitions, mais j'essaie de
comprendre.

Dans la base de registres, en HKey_Classes_Root, Windows,
CurrentVersion, Internet Setup, ZoneMap, EscDomains, se trouvent
plusieurs centaines de noms de sites dont les clés sont toutes à la
valeur 0x00000040 (4).
D'après les noms de certains d'entre eux, je suppose que c'est la
liste des sites à risque? Comment est-elle utilisée? Par qui?



Bonsoir
Si tu veux parler du fichier Hosts
Voir ici :
http://pagesperso-orange.fr/jesses/Docs/Bases/FichierHosts.htm

Pour ce qui est du Registre ( avec mon Windows XP SP3 ) je n'ai pas
trouvé cette clé ?
HKey_Classes_Root, Windows,> CurrentVersion, Internet Setup, ZoneMap,
EscDomains

Es-tu sûr, de la bonne saisie des caractères nominatifs de cette clé
?...
--
Le Novice °¿°
Herser
Le #19612401
Le Novice °¿° wrote:
Joël André wrote:
Bonsoir à tous,

Désolé si je n'utilise pas les bonnes définitions, mais j'essaie de
comprendre.

Dans la base de registres, en HKey_Classes_Root, Windows,
CurrentVersion, Internet Setup, ZoneMap, EscDomains, se trouvent
plusieurs centaines de noms de sites dont les clés sont toutes à la
valeur 0x00000040 (4).
D'après les noms de certains d'entre eux, je suppose que c'est la
liste des sites à risque? Comment est-elle utilisée? Par qui?



Bonsoir
Si tu veux parler du fichier Hosts
Voir ici :
http://pagesperso-orange.fr/jesses/Docs/Bases/FichierHosts.htm

Pour ce qui est du Registre ( avec mon Windows XP SP3 ) je n'ai pas
trouvé cette clé ?
HKey_Classes_Root, Windows,> CurrentVersion, Internet Setup, ZoneMap,
EscDomains

Es-tu sûr, de la bonne saisie des caractères nominatifs de cette clé
?...



Bonsoir Joël André
Salut Le Novice °¿°

Pour Joël André, je pense que tu ne donnes pas la(les) bonne(s) clé(s).
(Ni la bonne valeur)
Avec regedit faire "Fichier" "copier le nom de la clé"
Ce qui évite les erreurs de transcriptions

Ces clés EscDomains se retrouvent dans :
- HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
- HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains

Elles sont remplies par Spybot Search & Destroy ou SpyWareBlaster
Comme les sites du fichier Hosts (indiqué par Le Novice °¿°) qui reprend la
même liste.
Ce sont "les sites sensibles" qui deviennent ainsi interdits à IE.
Il y en a plus de 10000, et chaque mise à jour de Spybot en ajoute.

Le navigateur lit ce fichier quand il se lance et peut être ralenti.
C'etait le cas de IE8 (très ralenti) jusqu'à une mise à jour récente (10
juin dernier).
C'est aussi le cas de Firefox qui est un peu ralenti au démarrage.

Ces clés font double emploi avec le fichier Hosts.
Certains maliciels détournent le fichiers Hosts, c'est donc une précaution
supplémentaire.
Mais elles peuvent être désactivées, ce que faisait le batch de Georges :
http://saamu.net/topic1233.html
Largement utilisé avant la mise à jour de IE8.

Pour Le Novice °¿° :
Tu n'as pas ces clés, car le chemin de Joël André me semble faux, comme tu
t'en doutes.
Mais je pense que tu n'as pas non plus les sites sensibles dans EscDomains
Puisque tu règles Spybot selon :
http://pagesperso-orange.fr/jesses/Docs/Logiciels/SpybotPrev.htm#
Ce qui revient au batch de Georges
Je suis curieux d'ailleurs d'une vérification.........

Rem sécuritaire : le batch "Georges" ou le réglage "Jesses" supprime la
précaution supplémentaire.
Mais un maliciel qui détourne le Hosts n'a pas plus de difficulté à modifier
des clés
Et même à désactiver Tea Timer pour qu'il "la ferme"

D'ailleurs les spécialistes sécurité comme Zebulon ne conseillent plus
Spybot

En fait, comme souvent en sécurité :
- soit on a une conduite saine et on peut se passer des anti- machins
- soit on a une conduite à risques et il faut être bardé de précautions
dernier cri

Herser
Le Novice °¿°
Le #19612601
Herser wrote:

Pour Joël André

Ces clés EscDomains se retrouvent dans :
- HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
- HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains

Pour Le Novice °¿° :
Tu n'as pas ces clés, car le chemin de Joël André me semble faux,
comme tu t'en doutes.
Mais je pense que tu n'as pas non plus les sites sensibles dans
EscDomains Puisque tu règles Spybot selon :
http://pagesperso-orange.fr/jesses/Docs/Logiciels/SpybotPrev.htm#
Ce qui revient au batch de Georges
Je suis curieux d'ailleurs d'une vérification.........




Bonsoir Herser

Si j'ouvre " EscDomains "
Je trouve environ 50 sous-clés
Voir ici en image :
http://cjoint.com/?gvxsHcjDxQ
--
Le Novice °¿°
Herser
Le #19612731
Le Novice °¿° wrote:
Herser wrote:

Pour Joël André

Ces clés EscDomains se retrouvent dans :
- HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
- HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains

Pour Le Novice °¿° :
Tu n'as pas ces clés, car le chemin de Joël André me semble faux,
comme tu t'en doutes.
Mais je pense que tu n'as pas non plus les sites sensibles dans
EscDomains Puisque tu règles Spybot selon :
http://pagesperso-orange.fr/jesses/Docs/Logiciels/SpybotPrev.htm#
Ce qui revient au batch de Georges
Je suis curieux d'ailleurs d'une vérification.........




Bonsoir Herser

Si j'ouvre " EscDomains "
Je trouve environ 50 sous-clés
Voir ici en image :
http://cjoint.com/?gvxsHcjDxQ



Merci
Ce n'est pas Spybot qui les a inscrits, il y en aurait plus
Un autre logiciel de protection ?
Ou un réglage initial par défaut ?
Mais ça confirme que le réglage "Jesses" n'inscrit pas les sites Spybot.

Bonne nuit

Herser
Jean-Claude BELLAMY
Le #19614491
"Joël André" news:

Dans la base de registres, en HKey_Classes_Root, Windows, CurrentVersion,
Internet Setup, ZoneMap, EscDomains,


Pour commencer, quand on cite une clef de la BDR, on la donne en UNE SEULE
FOIS, linéairement, cela évite, comme tu viens justement de le faire
d'ailleurs, de se planter !!! ;-)

En effet, HKEY_CLASSES_ROOT (HKCR en abrégé standard) n'est qu'un alias de
HKEY_LOCAL_MACHINESOFTWAREClasses (HKLMSOFTWAREClasses) , laquelle
branche ne contient pas du tout de sous-clef "Windows...".
La clef que tu veux évoquer est en réalité :

HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapDomains
(commune à TOUS les comptes)
ou ses variantes propres à chaque compte utilisateur :
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapDomains
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains


se trouvent plusieurs centaines de noms de sites dont les clés sont toutes
à la valeur 0x00000040 (4).


Il y a un zéro de trop à la fin !
"4", en hexadécimal sur 32 bits, cela s'écrit 0x00000004
(...040 représenterait 64 en décimal)

Ce code correspond au niveau de "dangerosité" d'un site :
4 -> site sensible (potentiellement dangereux!)
3 -> site Internet
2 -> site de confiance (sûr et externe)
1 -> site intranet (sûr et interne)
0 -> Poste de travail

On retrouve ces 5 valeurs dans la clef :
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones

Les entrées qu'on trouve dans chaque sous-clef correspondent à un
"comportement"
Exemples :
1200
-> Run ActiveX controls and plug-ins
1201
-> Initialize and script ActiveX controls
not marked as safe
1400
-> Active scripting
...
La valeur indique l'état :
0 : action autorisée (par défaut)
1 : l'utilisateur est intérrogé
3 : action interdite
cf. : http://support.microsoft.com/?idƒ3633

Par défaut, tous les sites externes ont le code 3. C'est l'utilisateur qui
précise le niveau de chaque site (depuis IE, onglet Sécurité)

Comment est-elle utilisée? Par qui?


Essentiellement par Internet Explorer.
Ce dernier affiche alors en clair, dans la barre d'état (en bas, la moitié
droite), le type de site en cours visité.

REMARQUE IMPORTANTE :
================= "Sites sensibles", cela n'interdit pas pour autant l'ouverture de l'URL,
mais SEULEMENT certains traitements, tels que téléchargements, scripts, ...
Or, en ce qui concerne des sites tels que "DoubleClick" (qui fait un
scandaleux "trafic" de cookies !), ce qui mémorise des infos auprès de ce
site, c'est juste l'ouverture de l'URL.
C'est pourquoi dans ce cas il faut carrément "poubelliser" le domaine
"Doubleclick.net" dans le fichier HOSTS.
Du style :
127.0.0.1 ad.fr.doubleclick.net
Donc la protection totale contre ce genre de site réside UNIQUEMENT dans la
configuration du fichier HOSTS !


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Herser
Le #19615421
Jean-Claude BELLAMY wrote:
"Joël André" news:

Dans la base de registres, en HKey_Classes_Root, Windows,
CurrentVersion, Internet Setup, ZoneMap, EscDomains,


Pour commencer, quand on cite une clef de la BDR, on la donne en UNE
SEULE FOIS, linéairement, cela évite, comme tu viens justement de le
faire d'ailleurs, de se planter !!! ;-)

En effet, HKEY_CLASSES_ROOT (HKCR en abrégé standard) n'est qu'un
alias de HKEY_LOCAL_MACHINESOFTWAREClasses (HKLMSOFTWAREClasses)
, laquelle branche ne contient pas du tout de sous-clef "Windows...".
La clef que tu veux évoquer est en réalité :

HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapDomains
(commune à TOUS les comptes)
ou ses variantes propres à chaque compte utilisateur :
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapDomains
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains


se trouvent plusieurs centaines de noms de sites dont les clés sont
toutes à la valeur 0x00000040 (4).


Il y a un zéro de trop à la fin !
"4", en hexadécimal sur 32 bits, cela s'écrit 0x00000004
(...040 représenterait 64 en décimal)

Ce code correspond au niveau de "dangerosité" d'un site :
4 -> site sensible (potentiellement dangereux!)
3 -> site Internet
2 -> site de confiance (sûr et externe)
1 -> site intranet (sûr et interne)
0 -> Poste de travail

On retrouve ces 5 valeurs dans la clef :
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones

Les entrées qu'on trouve dans chaque sous-clef correspondent à un
"comportement"
Exemples :
1200
-> Run ActiveX controls and plug-ins
1201
-> Initialize and script ActiveX controls
not marked as safe
1400
-> Active scripting
...
La valeur indique l'état :
0 : action autorisée (par défaut)
1 : l'utilisateur est intérrogé
3 : action interdite
cf. : http://support.microsoft.com/?idƒ3633

Par défaut, tous les sites externes ont le code 3. C'est
l'utilisateur qui précise le niveau de chaque site (depuis IE, onglet
Sécurité)
Comment est-elle utilisée? Par qui?


Essentiellement par Internet Explorer.
Ce dernier affiche alors en clair, dans la barre d'état (en bas, la
moitié droite), le type de site en cours visité.

REMARQUE IMPORTANTE :
================= > "Sites sensibles", cela n'interdit pas pour autant l'ouverture de
l'URL, mais SEULEMENT certains traitements, tels que téléchargements,
scripts, ... Or, en ce qui concerne des sites tels que "DoubleClick"
(qui fait un scandaleux "trafic" de cookies !), ce qui mémorise des
infos auprès de ce site, c'est juste l'ouverture de l'URL.
C'est pourquoi dans ce cas il faut carrément "poubelliser" le domaine
"Doubleclick.net" dans le fichier HOSTS.
Du style :
127.0.0.1 ad.fr.doubleclick.net
Donc la protection totale contre ce genre de site réside UNIQUEMENT
dans la configuration du fichier HOSTS !



Salut Jean-Claude

Merci du complément
J'étais persuadé que l'inscription dans cette clé faisait double emploi avec
Hosts.
Je note qu'en fait cette inscription dans EscDomains n'empêche pas d'ouvrir
la page.
Mais comme il n'est pas très difficile pour un malware de modifier Hosts,
ces 2 protections sont un peu illusoires

Herser
Joël André
Le #19618241
Bonsoir,

Merci à Le Novice, à Herser et à Jean-Claude BELLAMY pour vos explications
claires et concises.

Désolé, j'ai effectivement recopié de travers le chemin (manuellement).
Le chemin correcte (copié selon l'idée d'Herser) est :

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains07guard.com
(007guard.com étant le premier de la liste)

et la valeur pour tous 0x0000004 (4)

Merci.

Joël

"Herser"
Le Novice °¿° wrote:
Joël André wrote:
Bonsoir à tous,

Désolé si je n'utilise pas les bonnes définitions, mais j'essaie de
comprendre.

Dans la base de registres, en HKey_Classes_Root, Windows,
CurrentVersion, Internet Setup, ZoneMap, EscDomains, se trouvent
plusieurs centaines de noms de sites dont les clés sont toutes à la
valeur 0x00000040 (4).
D'après les noms de certains d'entre eux, je suppose que c'est la
liste des sites à risque? Comment est-elle utilisée? Par qui?



Bonsoir
Si tu veux parler du fichier Hosts
Voir ici :
http://pagesperso-orange.fr/jesses/Docs/Bases/FichierHosts.htm

Pour ce qui est du Registre ( avec mon Windows XP SP3 ) je n'ai pas
trouvé cette clé ?
HKey_Classes_Root, Windows,> CurrentVersion, Internet Setup, ZoneMap,
EscDomains

Es-tu sûr, de la bonne saisie des caractères nominatifs de cette clé
?...



Bonsoir Joël André
Salut Le Novice °¿°

Pour Joël André, je pense que tu ne donnes pas la(les) bonne(s) clé(s).
(Ni la bonne valeur)
Avec regedit faire "Fichier" "copier le nom de la clé"
Ce qui évite les erreurs de transcriptions

Ces clés EscDomains se retrouvent dans :
- HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
- HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains

Elles sont remplies par Spybot Search & Destroy ou SpyWareBlaster
Comme les sites du fichier Hosts (indiqué par Le Novice °¿°) qui reprend
la même liste.
Ce sont "les sites sensibles" qui deviennent ainsi interdits à IE.
Il y en a plus de 10000, et chaque mise à jour de Spybot en ajoute.

Le navigateur lit ce fichier quand il se lance et peut être ralenti.
C'etait le cas de IE8 (très ralenti) jusqu'à une mise à jour récente (10
juin dernier).
C'est aussi le cas de Firefox qui est un peu ralenti au démarrage.

Ces clés font double emploi avec le fichier Hosts.
Certains maliciels détournent le fichiers Hosts, c'est donc une précaution
supplémentaire.
Mais elles peuvent être désactivées, ce que faisait le batch de Georges :
http://saamu.net/topic1233.html
Largement utilisé avant la mise à jour de IE8.

Pour Le Novice °¿° :
Tu n'as pas ces clés, car le chemin de Joël André me semble faux, comme tu
t'en doutes.
Mais je pense que tu n'as pas non plus les sites sensibles dans EscDomains
Puisque tu règles Spybot selon :
http://pagesperso-orange.fr/jesses/Docs/Logiciels/SpybotPrev.htm#
Ce qui revient au batch de Georges
Je suis curieux d'ailleurs d'une vérification.........

Rem sécuritaire : le batch "Georges" ou le réglage "Jesses" supprime la
précaution supplémentaire.
Mais un maliciel qui détourne le Hosts n'a pas plus de difficulté à
modifier des clés
Et même à désactiver Tea Timer pour qu'il "la ferme"

D'ailleurs les spécialistes sécurité comme Zebulon ne conseillent plus
Spybot

En fait, comme souvent en sécurité :
- soit on a une conduite saine et on peut se passer des anti- machins
- soit on a une conduite à risques et il faut être bardé de précautions
dernier cri

Herser











Le Novice °¿°
Le #19618731
Joël André wrote:
Bonsoir,

Merci à Le Novice, à Herser et à Jean-Claude BELLAMY pour vos
explications claires et concises.

Désolé, j'ai effectivement recopié de travers le chemin
(manuellement). Le chemin correcte (copié selon l'idée d'Herser) est :

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains07guard.com
(007guard.com étant le premier de la liste)

et la valeur pour tous 0x0000004 (4)




Salut Joel André

Quand tu veux copier le nom d'une clé
( Ou d'une sous-clé )
Au besoin, commences par la développer ...
Et cliques DROIT dessus
Ensuite cliques sur la mention :
" Copier le nom de la clé "

Voir ici, en image :
http://cjoint.com/?gwwiXWqPH6

Aprés tu peux coller le nom de la clé ou tu veux
( Ici par exemple ... )
Et cela donne :
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
--
Le Novice °¿°
Herser
Le #19618791
Le Novice °¿° wrote:
Joël André wrote:
Bonsoir,

Merci à Le Novice, à Herser et à Jean-Claude BELLAMY pour vos
explications claires et concises.

Désolé, j'ai effectivement recopié de travers le chemin
(manuellement). Le chemin correcte (copié selon l'idée d'Herser) est
: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains07guard.com
(007guard.com étant le premier de la liste)

et la valeur pour tous 0x0000004 (4)




Salut Joel André

Quand tu veux copier le nom d'une clé
( Ou d'une sous-clé )
Au besoin, commences par la développer ...
Et cliques DROIT dessus
Ensuite cliques sur la mention :
" Copier le nom de la clé "

Voir ici, en image :
http://cjoint.com/?gwwiXWqPH6

Aprés tu peux coller le nom de la clé ou tu veux
( Ici par exemple ... )
Et cela donne :
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains



C'est ce qu'il a fait, "selon l'idée d'Herser" sic
Enfin presque, j'avais dit :
Avec regedit faire "Fichier" "copier le nom de la clé"
C'est équivalent au menu contextuel

lol

Herser
Le Novice °¿°
Le #19618851
Herser wrote:

C'est ce qu'il a fait, "selon l'idée d'Herser" sic
Enfin presque, j'avais dit :
Avec regedit faire "Fichier" "copier le nom de la clé"
C'est équivalent au menu contextuel



Salut Herser :-)

Ben moi, quand j'ouvre le Registre, en haut à gauche, il y a bien "
Fichier "
Et si je clique sur " Fichier " je ne vois pas " Copier le nom de la clé
"
Ou alors, j'ai raté quelque chose ou je n'ai pas compris :-(

Et puis le clic droit et plus rapide !
--
Le Novice °¿°
Publicité
Poster une réponse
Anonyme