🪟Windows

Microsoft Windows étant le système d'exploitation le plus largement utilisé, il est crucial de comprendre comment mener une analyse médico-légale sur cette plateforme.

💻 Mon ordinateur m'espionne-t-il ?

Windows trace de nombreuses activités des utilisateurs pour personnaliser l'expérience informatique. Bien que cette collecte de données ne soit pas malveillante, mais plutôt destinée à améliorer l'expérience utilisateur, ces informations sont également utilisées par les enquêteurs médico-légaux pour analyser les activités système.

🖥️ Acquisition de données de registre

Lors de l’investigation médico-légale, nous rencontrerons soit un système en direct, soit une image prise du système. Par souci de précision, il est recommandé d’imager le système ou de faire une copie des données requises et d’y effectuer des analyses médico-légales. Ce processus est appelé acquisition de données. Ci-dessous, nous discutons des différentes manières d'acquérir des données de registre à partir d'un système actif ou d'une image disque :

  • KAPE : Un outil d'acquisition et d'analyse de données en direct qui peut être utilisé pour acquérir des données de registre. Il peut être utilisé en ligne de commande ou avec une interface graphique.

  • Autopsy : Permet d'acquérir des données à partir de systèmes en direct ou d'images disque. Il offre une fonctionnalité d'extraction de fichiers depuis une source de données.

  • FTK Imager : Similaire à Autopsy, permet d'extraire des fichiers d'une image disque ou d'un système actif. Il offre également une fonction pour extraire les fichiers protégés du registre.

🔍 Ou chercher les données ?

Registre Windows

Le registre Windows est une base de données contenant les configurations système, matérielles, logicielles et utilisateur.

Le registre Windows se compose de clés et de valeurs. Lorsque vous ouvrez l'utilitaire regedit.exe pour afficher le registre, les dossiers que vous voyez sont des clés de registre. Les valeurs de registre sont les données stockées dans ces dossiers (clés de registre).

Une Ruche de registre est un groupe de clés, sous-clés et valeurs stockées dans un seul fichier sur le disque.

Exemple

Chaque fois qu'un nouvel utilisateur se connecte à un ordinateur, une nouvelle ruche est créée pour cet utilisateur avec un fichier distinct pour le profil utilisateur. C'est ce qu'on appelle le ruche de profils utilisateur. La ruche d'un utilisateur contient des informations de registre spécifiques relatives aux paramètres d'application, au bureau, à l'environnement, aux connexions réseau et aux imprimantes de l'utilisateur. Les ruches de profils utilisateur sont situées sous la racine clé HKEY_USERS.

Si vous accédez à un système actif, vous pourrez accéder au registre à l'aide de regedit.exe et vous serez accueilli avec toutes les clés racine standard. Cependant, si vous n'avez accès qu'à une image, vous devez savoir où se trouvent les ruches de registre sur le disque. La majorité de ces ruches sont situées dans le répertoire C:\Windows\System32\Config:

  • HKEY_CURRENT_USER/DEFAULT: Configuration utilisateur actuelle. (Les dossiers de l'utilisateur, les couleurs de l'écran et les paramètres du panneau de configuration)

  • HKEY_USERS/SAM,: Profils utilisateur chargés sur l'ordinateur.

  • HKEY_LOCAL_MACHINE/Security: Configuration système globale (pour tout utilisateur).

  • HKEY_CLASSES_ROOT/Software: Association entre fichiers et programmes.

  • HKEY_CURRENT_CONFIG/System: Configuration matérielle actuelle.

En plus de ces ruches principales, il existee deux autres ruches importantes liées aux utilisateurs :

  • NTUSER.DAT : Monté sur HKEY_CURRENT_USER lorsqu'un utilisateur se connecte, stocke les préférences et les paramètres spécifiques à un utilisateur.

    C:\Users\<nom_utilisateur>\NTUSER.DAT

  • USRCLASS.DAT : Monté sur HKEY_CURRENT_USER\Software\CLASSES, contient des informations sur les types de fichiers et les associations d'applications pour un utilisateur.

    C:\Users\<nom_utilisateur>\AppData\Local\Microsoft\Windows

🐝 Ruche AmCache

Une ruche particulièrement importante est AmCache, située ici : C:\Windows\AppCompat\Programs\Amcache.hve

Cette ruche enregistre les programmes récemment exécutés sur le système.

Pour compléter les informations stockées dans les ruches, les journaux de transactions (.LOG) dans le même répertoire que les ruches enregistrent les modifications récentes.

Les sauvegardes de registre, situées dans C:\Windows\System32\Config\RegBack, fournissent une copie des ruches de registre qui peut être utile pour restaurer des clés de registre supprimées ou modifiées.

🔍 Visualisation des données extraites

Une fois les ruches du registre extraites, il est essentiel d'utiliser des outils de visualisation pour explorer ces fichiers, tout comme nous le ferions dans l'éditeur de registre Windows. Voici quelques outils adaptés à cette tâche :

  • AccessData registry viewer : Présente une interface utilisateur similaire à celle de l'éditeur de registre Windows. Charge une seule ruche à la fois.

  • Zimmerman's Registry Explorer : Permet de charger plusieurs ruches simultanément et peut intégrer les données des journaux de transactions pour une visualisation plus précise.

  • RegRipper : Génère un rapport extrayant les données importantes des ruches de registre pour une analyse médico-légale. Ne prend pas en charge les journaux de transactions.

PreviousGlossaireNextQuels informations sont importantes ?

Last updated