Fiche memento

Fiche Mémo: Analyse Médico-légale du Registre Windows

Introduction

L'investigation informatique est essentielle en cybersécurité, incluant l'analyse médico-légale des appareils numériques. Ce document présente les méthodes pour collecter des preuves à partir du registre Windows.

Importance du Registre

• Base de données systémique

• Enregistre les activités utilisateurs

Principales Ruches

• HKEY_CURRENT_USER/DEFAULT

• HKEY_USERS/SAM

• HKEY_LOCAL_MACHINE/Security

• HKEY_CLASSES_ROOT/Software

• HKEY_CURRENT_CONFIG/System

• NTUSER.DAT

• USRCLASS.DAT

Ruche AmCache

• Enregistre les programmes récemment exécutés

Compléments d'Information

• Journaux de transactions (.LOG)

• Sauvegardes de registre (C:\Windows\System32\Config\RegBack)

Conclusion

La connaissance des ruches et leur contenu est essentielle pour les analyses médico-légales et les enquêtes informatiques.

🔍 Acquisition de données de registre

Méthodes d'Acquisition :

• CAPÉ

• Autopsie

• Imageur FTK

🔍 Visualisation des données extraites

Outils de Visualisation :

• Visionneuse de registre d'AccessData

• Explorateur de registre de Zimmerman

• RegRipper

🖥️ Informations Système

• SOFTWARE\Microsoft\Windows NT\CurrentVersion (Version du Système d'Exploitation)

• SYSTEM\ControlSet001

• SYSTEM\ControlSet002

• SYSTEM\CurrentControlSet\Control\Select (Ensemble de Contrôle Actuel)

• SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName (Nom de l'Ordinateur)

• SYSTEM\CurrentControlSet\Control\TimeZoneInformation (Informations sur le Fuseau Horaire)

• SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces (Interfaces Réseau)

🚀 Programmes de Démarrage Automatique

• NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run

• NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\RunOnce

• SOFTWARE\Microsoft\Windows\CurrentVersion\Run

• SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

• SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

🔒 Ruche SAM et Informations Utilisateur

• SAM\Domains\Account\Users (Comptes Utilisateur, Informations de Connexion, Groupes)

📁 Informations Fichiers/Dossiers

• NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs (Fichiers Récents)

• NTUSER.DAT\Software\Microsoft\Office\VERSION (Fichiers Récents du Bureau)

• USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\Bags

• USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\BagMRU

• NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU

• NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags

• NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU

• NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU

• NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths

• NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

🔍 Activité de l'Utilisateur

Assistance Utilisateur (User Assist) :

• NTUSER.DAT\Software\Microsoft\Windows\Currentversion\Explorer\UserAssist\{GUID}\Count

Cache de Compatibilité des Applications (ShimCache) :

• SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

Ruche AmCache :

• C:\Windows\appcompat\Programs\Amcache.hve

• Amcache.hve\Root\File\{Volume GUID}

BAM/DAM (Background Activity Monitor/Desktop Activity Moderator) :

• SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}

• SYSTEM\CurrentControlSet\Services\dam\UserSettings\{SID}

📱 Appareils Connectés

• SYSTEM\CurrentControlSet\Enum\USBSTOR

• SYSTEM\CurrentControlSet\Enum\USB

• SYSTEM\CurrentControlSet\Enum\USBSTOR\Ven_Prod_Version\USBSerial#\Properties\{83da6326-97a6-4088-9453-a19231573b29}\####

• SOFTWARE\Microsoft\Windows Portable Devices\Devices