Registry Parser
Tous les articles

Comment ce Registry Parser analyse réellement vos ruches (et pourquoi rien n'est envoyé)

3 min de lecture

La plupart des outils forensiques en ligne veulent que vous envoyiez vos preuves. Pour les ruches du Registre Windows, c'est rédhibitoire. SAM et SECURITY portent du matériel d'identifiants ; NTUSER.DAT porte de l'activité utilisateur qui est, selon l'affaire, couverte par le secret professionnel. Remettre ces fichiers à un SaaS tiers pour "analyse" échange la chaîne de possession contre du confort.

Ce site ne fait pas cela. Chaque ruche que vous déposez est lue dans votre navigateur, analysée dans votre navigateur, et écartée à la fermeture de l'onglet. Ouvrez le panneau Réseau et regardez : aucune requête ne quitte la page après le démarrage du worker. Si vous ne faites pas confiance à cette affirmation, la source est livrée avec la page.

Le moteur d'analyse, en deux couches

Le moteur principal est hivex, la bibliothèque registre de libguestfs, compilée en WebAssembly. hivex est la référence open-source de l'analyse REGF depuis plus d'une décennie ; c'est ce qu'utilise virt-win-reg et ce que RegRipper utilise sous le capot sous Linux. Le compiler en WASM signifie que la ruche du registre est analysée par exactement le même chemin de code que la CLI canonique, simplement instanciée dans un Web Worker plutôt que dans un processus.

Si l'artefact WASM est inatteignable (par exemple, un CSP strict bloquant la compilation WebAssembly, ou une panne CDN transitoire), l'outil se replie sur un analyseur REGF en JavaScript pur. Les deux implémentent la même interface interne HiveSession, donc l'explorateur et les plugins d'artefacts se comportent identiquement quel que soit le moteur chargé. Vous pouvez vérifier lequel tourne depuis le panneau de diagnostics.

Ruches prises en charge

NTUSER.DAT, USRCLASS.DAT, SOFTWARE, SYSTEM, SAM, SECURITY et Amcache.hve. L'outil déduit le type de ruche depuis le nom de fichier et achemine l'ensemble correspondant de plugins d'artefacts. Si vous chargez Amcache.hve, vous obtenez les plugins spécifiques à Amcache ; si vous chargez SYSTEM, vous obtenez Shimcache, les services, et le reste.

Les journaux de transactions (.LOG1/.LOG2) sont rejoués quand présents. Déposez-les à côté de la ruche principale. La première chose que le worker fait est de réconcilier toute écriture en cours, même comportement que hivex en CLI.

Chaîne de possession, par écrit

Parce que l'analyseur est local et en lecture seule, le fichier de preuve d'origine n'est jamais modifié, jamais déplacé, et ne quitte jamais le poste de l'analyste. La sandbox du navigateur est la frontière. Aucun fichier temporaire n'est écrit sur disque ; la ruche vit en mémoire pour la durée de la session.

Pour les rapports, l'outil exporte en JSON, CSV ou Markdown avec les extractions d'artefacts, le hash du fichier d'origine (SHA-256 calculé au chargement), et l'horodatage de l'analyse. Ce hash est ce qui va dans les notes d'affaire. Si vous voulez un second avis, le même hash doit reproduire la même sortie sur la machine de n'importe quel analyste.

Si vous devez démontrer à un tribunal ou à un examinateur interne qu'aucun envoi n'a eu lieu, la preuve la plus simple est une capture d'écran enregistrée du panneau Réseau pendant l'analyse. Aucune requête sortante, aucun canal d'exfiltration. La ruche reste sur votre portable.

Où cela s'insère avec le reste de la pile

Cet analyseur est un outil. Pour un tableau DFIR Windows complet, vous voulez généralement aussi le MFT, le journal USN, Prefetch, l'AmCache, le Shimcache (qui vit dans SYSTEM et que cet analyseur gère déjà), et le journal d'événements Security. Les sites jumeaux utilisent la même approche côté client. Déposer, analyser, ne jamais envoyer.

Pour aller plus loin