Traces laissées sur un système Windows

Dans le cadre de formations que je donne sur la cybersurveillance, je suis amené à indiquer les différents moyens de retrouver la trace d’une action passée sur un système Windows.

Le répertoire Prefetch

A moins que le prefetcher soit désactivé, le répertoire c:\windows\prefetch contient la liste de tous les programmes qui ont été exécutés sur un système Windows 7/8. Cette fonctionnalité est désactivée sur les environnements Windows Server 2008/2012. La présence de l’appel à un bac à sable tel que Sandboxie n’est pas forcément bon signe !

Le gestionnaire d’événements

Il permet d’accéder aux journaux Windows verrouillés par le système, stockés dans le répertoire C:\windows\system32\config aux côtés des principaux fichiers qui constituent la base de registre. Vous y accédez grâce au progamme eventvwr.exe ou eventvwr.msc.

Les fichiers temporaires

Ils sont accessibles à partir des variables d’environnement fixées dans les paramètres système avancés de votre configuration Windows.

Variables d'environnement TEMP et TMP dans les paramètres système avancés de Windows

Les caches de navigation et autres traces

Pour Internet Explorer, vous pouvez y accéder à partir du répertoire %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files. Sous Firefox/Waterfox, tapez about:cache à partir de la barre d’adresse !

Pour accéder à ces caches de navigation et aux autres traces laissés sur votre système, vous pouvez aussi utiliser la version gratuite de l’excellent gratuiciel Ccleaner associé à CCEnhancer. Il existe d’ailleurs de nombreuses alternatives à Ccleaner comme BleachBit qui est une des rares solutions Open Source dans ce domaine !

Récupérer les fichiers et les disques formatés

Si vous souhaitez récupérer des fichiers effacés, en insérant le disque de l’utilisateur dans un boîtier USB à partir d’un autre ordinateur, vous pouvez utiliser le gratuiciel Recuva. Là-encore, les alternatives sont nombreuses et je voudrais vous signaler l’excellente solution Open Source TestDisk & Photorec qui permet de récupérer le contenu de disques formatés.

Les logs du pare-feu

J’attire votre attention sur le fait que vous pouvez journaliser toute l’activité réseau de votre machine grâce au pare-feu Windows. Par défaut, la taille du fichier de journalisation est de 4 Mo. Cela représente environ la consignation de 2 jours d’activité. Windows ne permet pas de fixer une valeur au delà de 32 Mo. Dommage !

La commande pour accéder au pare-feu est wf.msc. Dans les propriétés du pare-feu, allez dans chaque profil et cliquez sur le bouton Personnaliser au niveau de la zone Enregistrement en bas à droite de la boîte de dialogue.

Personnaliser l'enregistrement de la journalisation au niveau des propriétés du pare-feu Windows

Les informations liées au boot de votre système

Avec l’utilitaire msconfig.exe, vous pouvez journaliser les informations liées au démarrage de votre système. Elle se trouve consignée dans le fichier c:\windows\ntbtlog.txt.

Journaliser le démarrage de Windows

Je vous recommande l’utilisation du gratuiciel Autoruns – mis à disposition par Microsoft – pour l’analyse de l’activité résidente.

Autres fichiers de journalisation

Vous pouvez enfin effectuer une recherche sur vos différents lecteurs logiques des fichiers dont l’extension est .LOG. J’espère n’avoir rien oublié.

 

Dsfc Dsfc

Traces laissées sur un système Windows
5 votes, 5.00 avg. rating (98% score)
Tags : , , , , , , , , , ,
Commentaires

Pas encore de commentaire.

Laisser un commentaire

(requis)

(requis)


*