5/5 - (1 vote)
.

Le format CLSID dans le registre Windows.

Le système d’exploitation Windows et plus précisément son registre utilise largement le format Class Identifier appelé plus communément CLSID.

Les CLSID se présentent sous la forme de “GUID” (Globally Unique IDentifier) et sont stockés dans la Base de Registres Windows. Ils sont utilisés pour identifier les objets de la classe “COM” (Component Object Model)

Chaque objet est associé à un CLSID qui peut à son tour pointer sur un objet au format application comme par exemple une ressource dynamique (DLL) ou un processus exécutable. Le CLSID se présente comme une chaîne de 32 caractères alphanumériques hexadécimaux au format {00000000-1111-2222-3333-444444444444}

ZHPDiag recense toutes les clés CLSID orphelines sous l’appellation “SUP.Empty.CLSID”

Bien qu’il ne soit plus utilisé dans les technologies de gestion d’objets récentes,  le format CLSID est conservé pour la gestion des anciens objets COM.

 Exemple d’élément de menu contextuel :

O108 – CMH1: 7-Zip [64Bits] – {23170F69-40C1-278A-1000-000100020000} . (.Igor Pavlov – 7-Zip Shell Extension.) — C:\Program Files (x86)\7-Zip\7-zip.dll =>.Igor Pavlov

Le CLSID {23170F69-40C1-278A-1000-000100020000} se situe au niveau de la valeur par défaut de la clé  ContextMenuHandler “7-Zip”. La clé classes correspondante a ce CLSID pointe sur la ressource dynamique “7-zip.dll”

Exemple d’erreur d’objet COM avec CLSID :

Ce message d’erreur peut intervenir en cas de suppression d’une clé CLSID utilisée par un objet COM.

L’objet COM avec le CLSID {1C2D16C7-51FA-4D9F-9133-262A526235F8} n’est pas valide ou n’est pas inscrit. 
Description : Une exception non gérée s’est produite au moment de l’exécution de la demande Web actuelle. Contrôlez la trace de la pile pour plus d’informations sur l’erreur et son origine dans le code. 

Détails de l’exception: System.Runtime.InteropServices.COMException: L’objet COM avec le CLSID {1C2D16C7-51FA-4D9F-9133-262A526235F8} n’est pas valide ou n’est pas inscrit.

 Détournement d’objet COM avec CLSID :

Certains malwares remplacent les données de valeur de clé CLSID afin de lancer leur propre application ou de charger une ressource dynamique nuisible. Voici par exemple un détournement de tâches planifiées par l’Adware.Wizzcaster .

Les fichiers de tâches “zjwPaeaadZaNwF“,  “PjDfytumxbayONn”  et “PjDfytumxbayONn2”, placés dans le dossier système vont démarrer respectivement les ressources “TeHmZqVTbvkzQ.dll”, “emqTvz.dll” et  “emqTvz.dll”.

O38 – TASK: {3AA3BCEC-58EC-4A8D-8B08-8090D05652F6}[\zjwPaeaadZaNwF] – (…) — C:\Program Files\JIdcnntTvnKU2\TeHmZqVTbvkzQ.dll [437760]
O38 – TASK: {46CA7DF4-7C7F-4C04-965F-D7B67C62C0DE}[\PjDfytumxbayONn] – (…) — C:\Program Files\kqEuPYMaU\emqTvz.dll [284672]
O38 – TASK: {DE9DEF9A-0998-4ECC-B80B-545B72E4AE47}[\PjDfytumxbayONn2] – (…) — C:\Program Files\kqEuPYMaU\emqTvz.dll [284672]


La base de registre (BDR) est une base de données utilisée par le système d'exploitation Windows. Elle contient les données de configuration du système d'exploitation et des autres logiciels installés désirant s'en servir. En 2009, Microsoft utilise plutôt le terme Registre Windows pour parler de cette base de données. Généralement vous pouvez accéder au Registre via un utilitaire disposant d'une interface graphique. Dans le cas contraire, Windows met à à votre disposition l'utilitaire "Regedit". La Base de données du registre est souvent la cible d'attaques de pirates qui s'en servent pour connaître la configuration du système et la modifier si nécessaire. Pour preuve, l'architecte en sécurité Nathan McNulty, a démontré que des informations sensibles sont accessibles dans le registre et permettent de contourner le module d'exclusion de Windows Defender.

A propos de l'auteur

Retour en haut