👮Explorer les Artefacts

📁 Fichiers de Pré lecture

Les programmes sous Windows stockent des informations pour un accès rapide, appelées fichiers de pré lecture, dans le dossier C:\Windows\Prefetch. Ces fichiers .pf contiennent les détails sur l'exécution des applications, y compris les fichiers utilisés.

🔍 Détails sur les Fichiers Prefetch

  • Heures d'exécution des applications

  • Fréquence d'utilisation des applications

  • Fichiers et descripteurs de périphérique utilisés

💻 Utilisation de Prefetch Parser (PECmd.exe)

Pour analyser ces fichiers, utilisez PECmd.exe et spécifiez le chemin vers le fichier Prefetch ou le dossier pour extraire les données.

  • Pour exécuter Prefetch Parser sur un fichier et sauvegarder les résultats en CSV, utilisez cette commande :

    PECmd.exe -f <path-to-Prefetch-files> --csv <path-to-save-csv>

  • De même, pour analyser un répertoire entier, utilisez cette commande :

    PECmd.exe -d <path-to-Prefetch-directory> --csv <path-to-save-csv>

Exemple :

📊 Chronologie de Windows 10

Windows 10 enregistre les applications et fichiers récemment utilisés dans la base de données SQLite "Chronologie Windows 10". Cette base de données contient des informations sur les programmes exécutés et l'heure d'utilisation.

🗓️ Données de Chronologie

  • Applications exécutées

  • Heures d'utilisation des applications

🔍 Analyse avec WxTCmd.exe

Utilisez WxTCmd.exe pour analyser la Chronologie Windows 10. Spécifiez le fichier de la chronologie et le chemin pour enregistrer les résultats CSV. La chronologie de Windows 10 peut être trouvée à l'emplacement suivant : C:\Users<username>\AppData\Local\ConnectedDevicesPlatform{randomfolder}\ActivitiesCache.db

  • Pour exécuter WxTCmd :

    WxTCmd.exe -f <path-to-timeline-file> --csv <path-to-save-csv>

Exemple :

📝 Raccourcis

👉 Listes de Raccourcis Windows

Windows a introduit des listes de raccourcis pour aider les utilisateurs à accéder directement aux fichiers récemment utilisés à partir de la barre des tâches. Ces données sont stockées dans le répertoire suivant:

C:\Users<username>\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

📂 Informations sur les Raccourcis

  • Applications exécutées

  • Première et dernière heure d'exécution

🔍 Analyse avec JLECmd.exe

JLECmd.exe est utilisé pour analyser les listes de raccourcis. Spécifiez le fichier de la liste de raccourcis et le chemin pour enregistrer les résultats CSV.

  • Pour analyser les Jumplists à l'aide de JLECmd.exe :

    JLECmd.exe -f <path-to-Jumplist-file> --csv <path-to-save-csv>

Exemple :

📁 Fichiers de Raccourci

Windows crée un fichier de raccourci pour chaque fichier ouvert localement ou à distance. Ces fichiers contiennent des informations sur la première et la dernière heure d'ouverture du fichier, le chemin du fichier ouvert, et d'autres données.

🔍 Analyse avec LECmd.exe (Lnk Explorer)

  • Pour analyser les fichiers de raccourci :

    LECmd.exe -f <path-to-shortcut-files> --csv <path-to-save-csv>

  • Date de création du fichier de raccourci : indique la première ouverture du fichier.

  • Date de modification du fichier de raccourci : indique la dernière consultation du fichier.

📜 Historique IE/Edge

L'historique de navigation d'IE/Edge inclut les fichiers ouverts dans le système, qu'ils aient été ouverts via le navigateur ou non. Cela constitue une source précieuse d'informations sur les fichiers ouverts dans un système.

  • Emplacement de l'historique IE/Edge :

    C:\Users\<username>\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat

🐶 Analyse avec Autopsy

Utilisez Autopsy pour analyser l'historique IE/Edge. Sélectionnez Fichiers logiques comme source de données, puis choisissez le chemin à analyser. Sélectionnez uniquement le module "Activité récente" pour traiter les données.

  • Affichage des fichiers consultés : Consultez l'option "Historique Web" dans le panneau de gauche.

  • Détails des fichiers : L'onglet "Artefacts de données" affiche des informations sur les fichiers consultés.

Vous pouvez voir la documentation de Autopsy ici !

🔑 USB

Les fichiers de raccourci peuvent parfois nous fournir des informations sur les périphériques USB connectés. Il peut nous fournir des informations sur le nom, le type et le numéro de série du volume.

📝 Setupapi

Lorsqu'un nouveau périphérique est connecté à un système, les informations relatives à la configuration de ce périphérique sont stockées dans le setupapi.dev.log.

  • Chemin : C:\Windows\inf\setupapi.dev.log

  • Contenu : Contient des informations de configuration sur les périphériques USB, y compris le numéro de série et les horodatages de connexion.

Exemple de Contenu :

Conclusion

Utilisez les outils mentionnés pour analyser les artefacts Windows et extraire des informations cruciales pour l'analyse médico-légale. Ensuite, utilisez EZviewer pour visualiser les résultats CSV si nécessaire.

PreviousSystème de fichierNextLinux

Last updated