Registry Parser

Registry Parser

Déposez les ruches ci-dessous. Tout est analysé localement dans votre navigateur — aucun envoi, aucun serveur.

100% côté client · aucun fichier envoyé

Aucune ruche chargée pour l'instant.

Analyse forensique du Registre Windows dans votre navigateur

Registry Parser est un outil forensique gratuit, fonctionnant dans le navigateur, pour analyser les ruches du Registre Windows. Déposez un fichier NTUSER.DAT, SOFTWARE, SYSTEM, SAM, SECURITY, USRCLASS.DAT ou Amcache.hve : la ruche est analysée entièrement sur votre propre machine — rien n'est envoyé vers un serveur.

Il exécute plus de 140 plugins de type RegRipper sur les ruches chargées, extrayant les artefacts d'exécution, de persistance, USB, réseau, comptes et activité utilisateur, puis fusionne chaque résultat horodaté dans une frise chronologique forensique unique. Comme l'analyseur est compilé en WebAssembly et s'exécute côté client, il fonctionne hors ligne sous Windows, macOS et Linux sans rien installer.

Ce que fait Registry Parser

  • Analyse de ruches par glisser-déposer — NTUSER.DAT, SOFTWARE, SYSTEM, SAM, SECURITY, USRCLASS.DAT et Amcache.hve, traitées localement avec hivex compilé en WebAssembly.
  • Plus de 140 plugins d'artefacts de type RegRipper couvrant l'exécution de programmes, la persistance et les démarrages automatiques, les périphériques USB, les réseaux, les comptes locaux et l'activité utilisateur.
  • Une arborescence de clés explorable et une recherche plein texte sur les noms de clés, les noms de valeurs et les données.
  • Une frise chronologique unifiée qui fusionne chaque artefact horodaté en une vue chronologique, exportable en TLN et bodyfile/mactime.
  • Des constats de triage automatiques qui signalent les configurations à haut risque issues des artefacts analysés.
  • Export en un clic vers JSON, CSV, un rapport forensique Markdown ou HTML, ou PDF.

Ruches du Registre prises en charge

  • NTUSER.DAT — activité par utilisateur : UserAssist, RecentDocs, TypedPaths, clés Run, MountPoints2 et plus.
  • SOFTWARE — programmes installés, profils réseau, tâches planifiées, Winlogon et persistance à l'échelle de la machine.
  • SYSTEM — services, AppCompatCache (ShimCache), BAM/DAM, USBSTOR, fuseau horaire et sélection du jeu de contrôle.
  • SAM — comptes utilisateurs locaux, RID, nombre de connexions et appartenance aux groupes.
  • SECURITY — secrets LSA, identifiants en cache et stratégie d'audit.
  • USRCLASS.DAT — ShellBags et MUICache sous Windows moderne.
  • Amcache.hve — inventaire de fichiers avec empreintes SHA-1 et horodatages de première apparition.

Questions fréquentes

Registry Parser est-il gratuit, et mes fichiers sont-ils envoyés quelque part ?
Oui, il est gratuit, et aucun fichier n'est jamais envoyé. Chaque ruche est analysée entièrement dans votre navigateur grâce à WebAssembly : les fichiers ne quittent jamais votre machine. C'est donc sûr pour des preuves et des données sensibles.
Quelles ruches du Registre Windows puis-je analyser ?
NTUSER.DAT, USRCLASS.DAT, SOFTWARE, SYSTEM, SAM, SECURITY et Amcache.hve. Vous pouvez en charger plusieurs à la fois — par exemple le NTUSER.DAT d'un utilisateur avec SYSTEM et SOFTWARE — et les artefacts sont corrélés entre elles.
Est-ce une alternative à RegRipper dans le navigateur ?
En pratique, oui. Registry Parser exécute plus de 140 plugins inspirés de ceux de RegRipper, extrayant les mêmes artefacts, mais il fonctionne dans n'importe quel navigateur moderne, sans Perl, sans installation et sans ligne de commande. C'est un moyen rapide de trier une ruche quand on ne peut rien installer.
Comment ouvrir un fichier NTUSER.DAT ?
Glissez le fichier NTUSER.DAT sur la zone de dépôt ci-dessus, ou cliquez pour parcourir. La ruche est analysée localement et vous pouvez immédiatement explorer son arborescence de clés, exécuter tous les plugins d'artefacts et construire une frise chronologique.
Fonctionne-t-il hors ligne et sous macOS ou Linux ?
Oui. L'analyseur est compilé en WebAssembly et s'exécute entièrement côté client : il est indépendant du système d'exploitation et continue de fonctionner sans connexion réseau une fois la page chargée.
Quels artefacts forensiques extrait-il ?
Exécution de programmes (UserAssist, AppCompatCache/ShimCache, Amcache, BAM/DAM), persistance et démarrages automatiques (clés Run, services, tâches planifiées, Winlogon), historique des périphériques USB, historique des connexions réseau, comptes locaux et activité utilisateur comme RecentDocs et ShellBags.

Lisez des analyses détaillées des artefacts et des plugins RegRipper sur le blog Registry Parser.