Pour surveiller
vos installations : les mouchards (Réagir sur le
sujet)
Je suis conscient
que la plupart des gens soient très soucieux de leur sécurité en prenant
10 précautions (firewall, antivirus, etc.) mais ils ne se préoccupent
absolument pas de ce qu'ils installent et des crasses que ça laisse dans
la BdR (base de registres). Or, certains softs peuvent à la longue
provoquer autant de dégâts qu'un virus, je veux dire qu'ils déstabilisent
la BdR avec des désinstallations incomplètes ou des clés vérolées. Il y a
une espèce de psychose que j'ai un peu de mal à comprendre. Ne vous
méprenez pas, je ne dis pas qu'il faut se passer d'antivirus et autres
mais il y a une disproportion entre l'attention extrême pour les virus et
la nonchalance pour tout ce qu'on installe. Pour faire une comparaison
qui parlera à tout le monde, imaginez qu'il y ait 3 verrous et une caméra
à l'entrée de votre maison (antivirus et firewall). Un inconnu (le
logiciel) sonne. Il est contrôlé à l'entrée mais une fois à l'intérieur,
vous laissez cette personne sans surveillance, elle se promène sans
problème dans toutes les pièces et y laisse des crasses.
Je vois
régulièrement des sujets à propos du nettoyage de la BdR et la solution
proposée est souvent d'utiliser des outils comme RegCleaner, EasyCleaner,
etc. Malheureusement, ils ne suffisent pas dans beaucoup de cas. Il y
a des softs qui laissent un nombre invraisemblable de clés dans la BdR
après la désinstallation, soit pour qu'on ne puisse pas les réinstaller si
ce sont des versions d'évaluation, soit parce que le programmeur a été
fainéant. Résultat, on se retrouve avec une BdR pleine de trucs inutiles,
ça ralentit la machine puisque le registre est accédé en permanence, des
milliers de fois pendant que vous travaillez, environ 1000 (mille)
accès à l'ouverture de Word97 pour taper ce document-ci. Malgré la
puissance des machines actuelles, une BdR "légère" reste un avantage, de
même qu'un disque bien défragmenté et des fichiers temporaires
liquidés. Une autre raison pour la garder petite est qu'il y a une
"faiblesse" pour les machines Win9x, à partir de 9 MB pour le fichier
System.dat (un des deux fichiers du registre), on peut avoir des problèmes
avec l'instruction scanreg. MS - à son habitude - ne donne aucun
renseignement à ce sujet, ce sont des constatations empiriques de certains
utilisateurs. Je dis "certains" car des gens ont des System.dat parfois
plus gros et ne rencontrent aucun problème. Allez savoir.
Des softs
comme Regcleaner ou EasyCleaner ne nettoient pas les clés dont je parle
car elles ne sont pas détectables, il n'y est fait mention d'aucun nom de
fichier qui pourrait aider RegCleaner à déterminer que c'est une clé
"orpheline".
Quelle solution alors ? Les mouchards. Il n' y a rien
de péjoratif à ce mot, c'est simplement pour indiquer qu'ils traquent tout
changement dans la BdR et sur le disque. On peut les utiliser matin et
soir pour voir ce qui a changé mais le plus courant, c'est l'utilisation
lors d'une installation du dernier soft "de la mort qui tue" qu'on
s'empresse de désinstaller 3 jours après.
Le principe de ces
programmes est le même, ils prennent une "photo" de la BdR et du disque
avant et après une installation et comparent les 2 "photos". L'output est
dans un fichier txt ou html, pour une meilleure lisibilité. Vous lancez
donc le mouchard. Vous faites la première photo en laissant le mouchard en
mémoire. Vous installez l'application (si celle-ci nécessite un
redémarrage du PC, vous pouvez alors quitter le mouchard qui se souviendra
avoir fait la première photo) et vous faites la deuxième photo, après
avoir testé l'application (j'explique plus bas pourquoi attendre un
peu).
Certains softs créent moins de 5 clés à l'installation,
d'autres des centaines. On voit également que certains softs créent des
fichiers un peu partout dans les répertoires système qu'ils n'enlèvent pas
non plus à la désinstallation. En fonction de votre niveau de
connaissance et de votre envie de trifouiller dans la BdR, je vais
proposer 2 types de mouchards.
- Le premier Total Uninstall,
est entièrement automatisé car il permet de nettoyer la BdR après la
désinstallation. Vous pouvez même désinstaller avec TU, vous ne devez plus
passer par le programme de désinstallation de l'application. Il montre
les changements apportés à la BdR dans un style qui rappelle Regedit
(l'éditeur de la BdR) avec les arborescences des clés. Donc, si vous
voulez garder votre registre propre mais que vous ne voulez pas toucher à
Regedit, ce que je comprends parfaitement, Total Uninstall est pour
vous.
- Le deuxième type de mouchards fonctionne comme l'autre mais
produit un fichier .txt ou .html (voir ci-dessous), ils ne permettent pas
de nettoyer en automatique mais j'ai tout de même une solution que
j'expliquerai plus loin.
Voici un exemple de liste générée par
Inctrl5 pour l'application MetaEditor (pour modifier des fichiers vidéo
RealPlayer)
:
Registry
Keys
ignored: 0 * (none) Keys added:
86 HKEY_CLASSES_ROOT\ccrpCommonDialogs.ccrpFileDialogs HKEY_CLASSES_ROOT\ccrpCommonDialogs.ccrpFileDialogs\Clsid HKEY_CLASSES_ROOT\ccrpDragListbox.ccrpDragList HKEY_CLASSES_ROOT\ccrpDragListbox.ccrpDragList\Clsid HKEY_CLASSES_ROOT\CLSID\{379DBB0C-1A2D-11D2-B30A-444553540000} HKEY_CLASSES_ROOT\CLSID\{379DBB0C-1A2D-11D2-B30A-444553540000}\Control HKEY_CLASSES_ROOT\CLSID\{379DBB0C-1A2D-11D2-B30A-444553540000}\Implemented
Categories
Values added:
91 HKEY_CLASSES_ROOT\ccrpCommonDialogs.ccrpFileDialogs
"(Default)" Type: REG_SZ Data:
ccrpCommonDialogs.ccrpFileDialogs HKEY_CLASSES_ROOT\ccrpCommonDialogs.ccrpFileDialogs\Clsid
"(Default)" Type: REG_SZ Data:
{379DBB0C-1A2D-11D2-B30A-444553540000} HKEY_CLASSES_ROOT\ccrpDragListbox.ccrpDragList
"(Default)" Type: REG_SZ Data: A standard VB ListBox control with
added support for drag-and-drop within the list, as well as a few other
features. HKEY_CLASSES_ROOT\ccrpDragListbox.ccrpDragList\Clsid
"(Default)" Type: REG_SZ Data:
{7838B6E3-11F2-11D2-BBBD-0055003B26DE} HKEY_CLASSES_ROOT\CLSID\{379DBB0C-1A2D-11D2-B30A-444553540000}
"(Default)"
8<---------
J'ai coupé car c'est trop long.
Ce qu'on constate, c'est que le nom de l'application n'apparaît nulle
part. Quand je l'ai désinstallée, toute une série de clés n'ont pas été
effacées et RegCleaner n'a été d'aucun secours vu que ces clés n'ont pas
l'air d'être "orphelines". J'ai choisi à dessein le cas d'une
application qui crée des clés sans son nom et qui désinstalle mal. Je
ne mets pas la liste des fichiers créés et/ou modifiés mais ça ressemble à
ce qu'on voit pour les clés.
Voici les liens pour
:
RegShot http://regshot.yeah.net/ (34 KB !). Attention, ce sont
des pages avec des caractères chinois, il y a aussi une partie en anglais.
C'est le plus simple, seulement quelques boutons. Pour
Win9x/ME/NT4/2K/XP
Total Uninstall :
http://www.simtel.net/pub/dl/61416.shtml vous y
choisissez votre site de download (766 KB)
http://www.toutfr.com/?p=list-373
http://easyfrog.free.fr/download.htm
http://www.geocities.com/ggmartau/download/download.html
(page de l'auteur du logiciel)
pour
Win9x/ME/NT4/2K/XP
Inctrl5 http://pascal.oudot.free.fr/telechar/logs/inctrl5.exe
(618 Kb) pour Win9x/ME/NT4/2K (sans doute XP aussi)
Par défaut, il
prend aussi une copie des WIN.INI, SYSTEM.INI et CONTROL.INI et indique
tous les changements qui y ont été apportés. On peut demander à Inctrl5 de
prendre en plus une copie de fichiers ini et txt, avec certaines
limitations. Ce dernier programme n'existe qu'en anglais, j'avais pourtant
lu sur un site qu'il y aurait une version française mais je ne l'ai jamais
vue.
Il y a aussi CleanSweep de Norton qui fait ce boulot mais
c'est payant.
Au rayon des inconvénients, il est clair que c'est
trop tard pour les softs que vous avez déjà installés. Quoique. Si vous
avez un 2ème PC (ce qui semble être le cas de nombreuses personnes),
installez-y le logiciel qui vous tracasse sur ce qu'il a écrit dans votre
BdR et faites-le avec un des mouchards. Vous regardez alors le rapport
produit dans le fichier texte et il ne vous reste plus qu'à vous en servir
sur le PC qui n'a pas été installé sous le contrôle d'un
mouchard.
D'autre part, lorsque vous faites les "photos", il paraît
logique de faire la 1ère juste avant l'installation et la deuxième juste
après. Il faut savoir que la plupart des softs créent aussi des clés
lorsqu'on les utilise la 1ère fois. Mon expérience montre qu'il est donc
"sage" de faire la deuxième photo après avoir utilisé le logiciel quelques
minutes, en cliquant à gauche et à droite, en allant dans les options,
etc. Ce n'est pas la garantie d'avoir tout mais ça donnera tout de même
plus que si vous avez fait la 2ème photo à la fin de
l'installation.
Pour terminer sur une note optimiste, si vous
utilisez Inctrl5 ou Regshot (qui n'ont donc pas de fonction automatique de
suppression des clés), il y a tout de même une solution. Un gars à
développer une application qui lit le rapport généré par une des deux et
fait le boulot de désinstallation. Ça s'appelle UndoReg, à télécharger ici
: http://spazioweb.inwind.it/neutronstar (53 Kb). Voilà
ce qu'on trouve dans le Readme :
Click on "Open Report" and
choose a TXT report generated by "InCtrl 4.1 - 5", "System Mechanic Safe
Installer" or "RegShot"
Quelques considérations.
- Il
n'y a normalement aucun risque avec ce genre de logiciels puisqu'ils se
contentent de prendre des photos. C'est vrai mais à partir du moment où
vous désinstallez avec TU ou que vous utilisez UndoReg, vous pourriez
éventuellement avoir un problème. La recommandation classique est de
sauver votre BdR avant, voyez ce qui est dit dans d'autres posts sur
SOS3Win.
Extrait du readme de TU :
If the monitored
application is already uninstalled with its uninstaller you can remove the
remaining garbage data from your computer using the Total Uninstall
wizard. In this case YOU MUST uncheck the "Decrease shared dll's counter"
from option dialog.
Que je peux traduire comme ceci : si
l'application que vous avez "mouchardée" a été désinstallée avec le
programme de désinstallation associée à elle, vous pouvez tout de même
supprimer les crasses restant sur votre PC en utilisant le magicien
(Wizard). Dans ce cas, vous devez décocher la case "Decrease shared dll's
counter" de la boîte de dialogue "options".
SharedDLLs,
C'est quoi ce binz ?
Il s'agit d'une clé du registre
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs]
qui contient le nom des DLL (Dynamic Link Libraries) partagées entre les
programmes, j'en ai 360 dans mon registre. Je vous donne un exemple.
Chaque fois que vous installez une application qui est écrite en Visual
Basic (disons la version 6), cette application nécessite la présence d'une
DLL s'appelant MSVBM60.dll. Voici la valeur d'une clé chez moi
: "C:\\WINDOWS\\SYSTEM\\MSVBVM60.dll"=dword:00000003
Ce qui est
intéressant, c'est la valeur après le dword. C'est le nombre de fois que
cette DLL a été "registrée", ce qui veut dire que j'ai 3 applications
différentes qui font appel à cette DLL pour fonctionner. Normalement, une
désinstallation propre doit prévoir de diminuer ce compteur mais encore
une fois, certains programmeurs ne le prévoient pas. Avec pour conséquence
qu'on va avoir une valeur fausse. Ce n'est pas grave en soi, disons qu'on
peut alors avoir des DLL qui laissent des traces dans le registre. Mais je
pense que des programmes comme EasyCleaner ou RegCleaner vont trouver
cette anomalie puisqu'il y a une référence dans le registre à un fichier
absent du disque. Pour en revenir à TU, il gère la valeur sharedDLLs si on
l'utilise pour désinstaller. Si on a déjà désinstallé et qu'on veut
nettoyer le surplus de crasses, il vaut mieux décocher la case mentionnée
ci-dessus. Ce n'est que lorsque le compteur passe à 0 (ce qui veut dire
que plus aucune application ne l'emploie) que TU envoie la DLL à la
corbeille.
- Les webmasters n'aiment pas qu'on parle de cracks et
ils ont raison. Mais pour ceux qui lisent entre les lignes, il est clair
que ce genre de programmes donne la possibilité de trouver la ou les clés
ou le fichier qui contient la date limite ou le nombre d'utilisations
maximum. Ne comptez pas sur moi pour vous dire comment faire, ça dépend
d'une application à l'autre de toute façon et mon "expérience" montre que
c'est souvent une clé cryptée et qu'il est même parfois impossible de la
modifier sans perturber le programme. Je ne l'utilise que très rarement
car j'ai été programmeur et je sais quel boulot ça représente de faire une
application mais je regarde toujours comment font les programmeurs pour
"protéger" leur application. Ils savent très bien que les cracks sont
partout sur Internet et ils ne perdent pas trop de temps à vouloir
protéger leur programme mais c'est un autre débat.
Si tout ça vous
paraît ardu, sachez qu'à l'usage, c'est super simple à utiliser. C'est
juste un peu plus difficile si on veut s'intéresser à ce que contient le
rapport du mouchard mais vous pouvez très bien l'ignorer et ne le garder
que pour le jour de la désinstallation. Je crois qu'on peut
désinstaller presque tout avec ces logiciels, j'émettrais peut-être
quelques réserves pour Internet Explorer car il est tellement entremêlé
avec Windows que je ne m'aventurerais pas à liquider des clés si je
voulais redescendre d'une version.
N'hésitez pas à
posez des questions ainsi qu'à tester un des mouchards, même si vous
n'installez rien. Faites-le tourner le matin et puis le soir et demander
le rapport, vous serez sans doute édifié. C'est ce que je fais tous les
jours et j'archive ensuite le rapport afin de pouvoir le ressortir 6 mois
après, s'il le fallait. Cela m'a déjà permis de retrouver le jour où une
clé a été créée ou le jour d'installation d'une dll et ainsi, de savoir
quelle application en est la responsable.
|