Oggi, per qualche motivo, mi è tornato in mente di aver letto alcune informazioni riguardo all'utilizzo che Windows farebbe della chiave di registro in oggetto, ho deciso di farne una segnalazione poiché qualcuno potrebbe trovarlo interessante.

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

I valori registrati all'interno di tale percorso verrebbero, a quanto pare, scritti dalla shell (explorer.exe) di Windows nel momento in cui l'utente avvia un eseguibile.

Tecnicamente trovo piuttosto interessante questa particolare funzione del sistema operativo, non tanto per l'aspetto legato all'analisi forense dei sistemi trattata sul blog di cui sopra, ma quanto per l'applicazione che si potrebbe farne tramite scripting.

Potrebbe, secondo voi, risultare utile memorizzare il contenuto della chiave MUICache di ogni utente (e di ogni pc) ed organizzarlo all'interno di un semplice database? Lo scopo sarebbe ovviamente quello di identificare buona parte dei software indesiderati (virus e spyware) e non autorizzati presenti in rete.

Sfruttando lo stesso tipo di approccio utilizzato nelle hash rule di Windows Server (Software Restriction Policies), ovvero unendo i valori hash (MD5 o SHA1) degli eseguibili estratti dal registro (se ancora esistenti) alla loro dimensione, si potrebbero inoltre ottenere dei valori univoci sufficienti ad identificare e successivamente bloccare tutti quei software ritenuti dannosi.

Vi invito a commentare con le vostre idee.

Autore

Mirko Iodice
mirko -at- notageek (.dot) it

Suggeriti dall'autore

• Quanto sono sicure le Group Policy? - How secure is Group Policy?

Print This • Email this • Twit This! • Add to del.icio.us • Share on Facebook • Digg This! • Stumble It! • AddThis! • Share on Segnalo Alice • Share on OKNotizie