Fiche memento

Fiche Mémo: Analyse Médico-légale du Registre Windows

Introduction

L'investigation informatique est essentielle en cybersécurité, incluant l'analyse médico-légale des appareils numériques. Ce document présente les méthodes pour collecter des preuves à partir du registre Windows.

Importance du Registre

  • Base de données systémique

  • Enregistre les activités utilisateurs

Principales Ruches

  • HKEY_CURRENT_USER/DEFAULT

  • HKEY_USERS/SAM

  • HKEY_LOCAL_MACHINE/Security

  • HKEY_CLASSES_ROOT/Software

  • HKEY_CURRENT_CONFIG/System

  • NTUSER.DAT

  • USRCLASS.DAT

Ruche AmCache

  • Enregistre les programmes récemment exécutés

Compléments d'Information

  • Journaux de transactions (.LOG)

  • Sauvegardes de registre (C:\Windows\System32\Config\RegBack)

Conclusion

La connaissance des ruches et leur contenu est essentielle pour les analyses médico-légales et les enquêtes informatiques.

🔍 Acquisition de données de registre

Méthodes d'Acquisition :

  • CAPÉ

  • Autopsie

  • Imageur FTK

🔍 Visualisation des données extraites

Outils de Visualisation :

  • Visionneuse de registre d'AccessData

  • Explorateur de registre de Zimmerman

  • RegRipper

🖥️ Informations Système

  • SOFTWARE\Microsoft\Windows NT\CurrentVersion (Version du Système d'Exploitation)

  • SYSTEM\ControlSet001

  • SYSTEM\ControlSet002

  • SYSTEM\CurrentControlSet\Control\Select (Ensemble de Contrôle Actuel)

  • SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName (Nom de l'Ordinateur)

  • SYSTEM\CurrentControlSet\Control\TimeZoneInformation (Informations sur le Fuseau Horaire)

  • SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces (Interfaces Réseau)

🚀 Programmes de Démarrage Automatique

  • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run

  • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\RunOnce

  • SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

  • SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

🔒 Ruche SAM et Informations Utilisateur

  • SAM\Domains\Account\Users (Comptes Utilisateur, Informations de Connexion, Groupes)

📁 Informations Fichiers/Dossiers

  • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs (Fichiers Récents)

  • NTUSER.DAT\Software\Microsoft\Office\VERSION (Fichiers Récents du Bureau)

  • USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\Bags

  • USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\BagMRU

  • NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU

  • NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags

  • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU

  • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU

  • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths

  • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

🔍 Activité de l'Utilisateur

Assistance Utilisateur (User Assist) :

  • NTUSER.DAT\Software\Microsoft\Windows\Currentversion\Explorer\UserAssist\{GUID}\Count

Cache de Compatibilité des Applications (ShimCache) :

  • SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

Ruche AmCache :

  • C:\Windows\appcompat\Programs\Amcache.hve

  • Amcache.hve\Root\File\{Volume GUID}

BAM/DAM (Background Activity Monitor/Desktop Activity Moderator) :

  • SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}

  • SYSTEM\CurrentControlSet\Services\dam\UserSettings\{SID}

📱 Appareils Connectés

  • SYSTEM\CurrentControlSet\Enum\USBSTOR

  • SYSTEM\CurrentControlSet\Enum\USB

  • SYSTEM\CurrentControlSet\Enum\USBSTOR\Ven_Prod_Version\USBSerial#\Properties\{83da6326-97a6-4088-9453-a19231573b29}\####

  • SOFTWARE\Microsoft\Windows Portable Devices\Devices

PreviousQuels informations sont importantes ?NextSystème de fichier

Last updated