🔎Quels informations sont importantes ?

Lorsque nous menons une enquête médico-légale sur un système informatique, l'une des premières étapes consiste à recueillir des informations sur le système lui-même ainsi que sur l'activité des utilisateurs.

🖥️ Système d'exploitation Version

  • Clé de Registre: SOFTWARE\Microsoft\Windows NT\CurrentVersion

  • Cette clé fournit des informations sur la version du système d'exploitation.

🛠️ Ensemble de contrôle actuel

  • Clés de Registre associées:

    • SYSTEM\ControlSet001

    • SYSTEM\ControlSet002

    • SYSTEM\CurrentControlSet\Control\Select

  • Ces clés contiennent des informations sur la configuration de démarrage du système.

🖥️ Nom de l'ordinateur

  • Clé de Registre associée: SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName

  • Cette clé indique le nom de l'ordinateur.

⏰ Informations sur le fuseau horaire

  • Clé de Registre associée: SYSTEM\CurrentControlSet\Control\TimeZoneInformation

  • Cette clé fournit des informations sur le fuseau horaire.

🌐 Interfaces réseau et réseaux antérieurs

  • Clé de Registre associée: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces

  • Cette clé contient des informations sur les interfaces réseau.

🚀 Programmes de démarrage automatique (Autoruns)

  • Clés de Registre associées:

    • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run

    • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\RunOnce

    • SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

    • SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

  • Ces clés révèlent les programmes qui s'exécutent au démarrage.

📁 Fichiers récents

  • Clé de Registre associée: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

    • Cette clé contient une liste des fichiers récemment ouverts pour chaque utilisateur.

📄 Fichiers récents du bureau

  • Clé de Registre associée: NTUSER.DAT\Software\Microsoft\Office\VERSION

    • Cette clé contient une liste des documents récemment ouverts dans Microsoft Office.

🛍️ Shellbags

  • Clés de Registre associées:

    • USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\Bags

    • USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\BagMRU

    • NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU

    • NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags

    • Ces clés contiennent des informations sur les dispositions des dossiers et les fichiers récemment utilisés.

🗃️ MRU des boîtes de dialogue Ouvrir/Enregistrer et Dernière visite

MRU, abréviation de "Most Recently Used" (les plus récemment utilisés), fait référence aux listes de fichiers ou d'emplacements les plus récemment accédés dans les boîtes de dialogue "Ouvrir/Enregistrer" et "Dernière visite".

  • Clés de Registre associées:

    • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU

    • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU

    • Ces clés contiennent des informations sur les emplacements récemment utilisés lors de l'ouverture ou de l'enregistrement de fichiers.

🔍 Barres d'adresse/de recherche de l'Explorateur Windows

  • Clés de Registre associées:

    • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths

    • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

    • Ces clés contiennent des informations sur les chemins saisis dans la barre d'adresse de l'Explorateur Windows et les recherches effectuées.

🔒 Ruche SAM et informations utilisateur

  • Clé de Registre associée: SAM\Domains\Account\Users

  • Cette clé contient des informations sur les comptes utilisateur, les informations de connexion et les groupes.

🔍 Assistance utilisateur (User Assist)

Windows enregistre les applications lancées par l'utilisateur à l'aide de l'Explorateur Windows dans les clés de registre User Assist. Ces informations incluent les programmes lancés, l'heure de leur exécution et le nombre de fois où ils ont été exécutés. La clé User Assist se trouve dans la ruche NTUSER, mappée au GUID de chaque utilisateur.

  • Clé de Registre associée: NTUSER.DAT\Software\Microsoft\Windows\Currentversion\Explorer\UserAssist\{GUID}\Count

📁 Cache de Compatibilité des Applications (ShimCache)

Le ShimCache stocke des informations sur la compatibilité des applications avec le système d'exploitation. Il enregistre le nom du fichier, sa taille et l'heure de la dernière modification des exécutables. La clé ShimCache est située dans la ruche SYSTEM.

  • Clé de Registre associée: SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

💼 Ruche AmCache

La ruche AmCache est un artefact lié au ShimCache, stockant des données supplémentaires sur les exécutions de programmes, telles que le chemin d'exécution, les heures d'installation, d'exécution et de suppression, ainsi que les hachages SHA1 des programmes exécutés.

  • Emplacement dans le système de fichiers: C:\Windows\appcompat\Programs\Amcache.hve

  • Emplacement dans la ruche: Amcache.hve\Root\File\{Volume GUID}

🔄 BAM/DAM (Background Activity Monitor/Desktop Activity Moderator)

BAM surveille l'activité des applications en arrière-plan, tandis que DAM fait partie du système Modern Standby de Microsoft Windows, optimisant la consommation d'énergie. Les informations sur les derniers programmes exécutés sont enregistrées dans les clés de registre suivantes:

  • SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}

  • SYSTEM\CurrentControlSet\Services\dam\UserSettings\{SID}

Ces artefacts du registre Windows sont essentiels pour retracer l'historique des activités système et utilisateur, offrant une vue détaillée de l'utilisation de la machine.

💻 Appareils Connectés

Il est crucial d'identifier les périphériques USB ou amovibles connectés à une machine. Voici comment trouver des informations sur ces appareils à l'aide du registre :

📱 Identification de l'appareil

Les clés suivantes gardent une trace des périphériques USB connectés au système, stockant des informations telles que l'identifiant du fournisseur, l'identifiant du produit, la version du périphérique, ainsi que l'heure de connexion :

  • SYSTEM\CurrentControlSet\Enum\USBSTOR

  • SYSTEM\CurrentControlSet\Enum\USB

⏰ Première/Dernière fois

La clé de registre suivante enregistre la première et la dernière fois que l'appareil a été connecté, ainsi que la dernière fois qu'il a été retiré du système :

  • SYSTEM\CurrentControlSet\Enum\USBSTOR\Ven_Prod_Version\USBSerial#\Properties\{83da6326-97a6-4088-9453-a19231573b29}\#### (#### peut être remplacé par des valeurs spécifiques pour obtenir les informations requises)

📁 Nom du volume du périphérique USB

Le nom du périphérique USB est stocké à l'emplacement suivant :

  • SOFTWARE\Microsoft\Windows Portable Devices\Devices

Ces données permettent aux enquêteurs médico-légaux de retracer l'historique des appareils connectés à la machine, fournissant des informations cruciales pour l'investigation.

PreviousWindowsNextFiche memento

Last updated