MUICache?

In data 22/10/2009 è stato pubblicato un aggiornamento a questo post, cliccate qui per visualizzarlo

Oggi, per qualche motivo, mi è tornato in mente di aver letto alcune informazioni riguardo all'utilizzo che Windows farebbe della chiave di registro in oggetto, ho deciso di farne una segnalazione poiché qualcuno potrebbe trovarlo interessante.

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

I valori registrati all'interno di tale percorso verrebbero, a quanto pare, scritti dalla shell (explorer.exe) di Windows nel momento in cui l'utente avvia un eseguibile.

Tecnicamente trovo piuttosto interessante questa particolare funzione del sistema operativo, non tanto per l'aspetto legato all'analisi forense dei sistemi trattata sul blog di cui sopra, ma quanto per l'applicazione che si potrebbe farne tramite scripting.

Potrebbe, secondo voi, risultare utile memorizzare il contenuto della chiave MUICache di ogni utente (e di ogni pc) ed organizzarlo all'interno di un semplice database? Lo scopo sarebbe ovviamente quello di identificare buona parte dei software indesiderati (virus e spyware) e non autorizzati presenti in rete.

Sfruttando lo stesso tipo di approccio utilizzato nelle hash rule di Windows Server (Software Restriction Policies), ovvero unendo i valori hash (MD5 o SHA1) degli eseguibili estratti dal registro (se ancora esistenti) alla loro dimensione, si potrebbero inoltre ottenere dei valori univoci sufficienti ad identificare e successivamente bloccare tutti quei software ritenuti dannosi.

Vi invito a commentare con le vostre idee.

Autore

Mirko Iodice
mirko -at- notageek (.dot) it

Suggeriti dall'autore

Print This Email this Twit This! Add to del.icio.us Share on Facebook Digg This! Stumble It! AddThis! Share on Segnalo Alice Share on OKNotizie

Post Metadata

Data
21 maggio 2008

Autore
Mirko

Categorie

3 commenti a “MUICache?”




  1. Mi sembra un'idea molto interessante... da approfondire.
    Grazie della segnalazione e complimenti per il blog.

    Rispondi



  2. @ zimo
    Grazie, io avrei già a disposizione del codice da riutilizzare per creare una sorta di proof of concept di quanto ho scritto. Lo potrei mettere da scaricare in questi giorni.

    Rispondi



  3. Questo progetto iniziato molto tempo fa era stato poi abbandonato per molteplici motivi.
    Ora scrivo per comunicarvi che recentemente l'ho rispolverato assieme al mio amico e collega Luca Alberti ed il risultato lo trovate qui: http://www.notageek.it/muicache-toolkit.html

    Rispondi



Lascia un commento