Forensics : vos traces sur un système Windows
23 octobre 2019
Dans le cadre de formations que je donne sur la cybersurveillance, je suis amené à indiquer les différents moyens de retrouver la trace d’une action passée sur un système Windows. Tous ces outils peuvent être utilisés à l’occasion d’une analyse Forensics Post-Mortem consécutive à une attaque informatique, à un chiffrement de données ou à un effacement de données.
Le répertoire Prefetch
A moins que le prefetcher soit désactivé, le répertoire c:\windows\prefetch contient la liste de tous les programmes qui ont été exécutés sur un système Windows 7/8/10. Cette fonctionnalité est désactivée sur les environnements Windows Server 2008/2012/2016. La présence de l’appel à un bac à sable tel que Sandboxie n’est pas forcément bon signe !
Dans la même lignée, je vous recommande le programme ExecutedProgramsList qui vous permet de lister tous les programmes qui ont été exécutés sur votre machine.
Les ShellBags
Les « ShellBags » permettent de conserver l’agencement des dossiers que vous avez ouverts. Ils indiquent la date à laquelle vous y avez accédé. Pour en obtenir une liste, vous disposez de deux outils :
- ShellBagsView de Nirsoft
- ShellBag Analyzer & Cleaner de Privazer
Le MUICache
Dans le même registre, sachez que Windows stocke dans son registre la liste des dernières applications utilisées au niveau de la clé HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache. Pour visualiser et supprimer la liste de ces applications, vous disposez du logiciel MUICacheView de Nirsoft.
Un nouveau programme signé Nirsoft, ExcutedProgramsList, permet d’obtenir la liste des derniers programmes exécutés à partir du dossier c:\windows\prefetch et des clés de registre suivantes :
- HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
- HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
- HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
- HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
Le gestionnaire d’événements
Il permet d’accéder aux journaux Windows verrouillés par le système, stockés dans le répertoire C:\windows\system32\config aux côtés des principaux fichiers qui constituent la base de registre. Vous y accédez grâce au programme eventvwr.exe ou eventvwr.msc.
Les fichiers temporaires
Ils sont accessibles à partir des variables d’environnement fixées dans les paramètres système avancés de votre configuration Windows.
Les caches de navigation et autres traces
Pour Internet Explorer, vous pouvez y accéder à partir du répertoire %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files. Sous Firefox/Chromium tapez about:cache à partir de la barre d’adresse ! Dans Firefox, vous pouvez aussi consulter toutes les adresses consultées par about:networking.
Sous Chromium encore, pour consulter toutes les informations disponibles, tapez chrome://chrome-urls.
Pour accéder à ces caches de navigation et aux autres traces laissées sur votre système, vous pouvez aussi utiliser la version gratuite des gratuiciels Wise Disk Cleaner et Ccleaner associé à CCEnhancer. Il existe d’ailleurs de nombreuses alternatives à Ccleaner comme BleachBit qui est une des rares solutions Open Source dans ce domaine !
Les certificats
De nombreux certificats sont visibles au travers de la console certmgr.msc. Pour les lister en PowerShell, ça donne :
Get-ChildItem Cert:\ -Recurse|Select-Object FriendlyName|Where-Object {$_.FriendlyName -ne ''}|Sort-Object -Unique -Property FriendlyName
Les clichés instantanés
C’est un mécanisme appelé VSS ou Volume Shadow copy Service, qui permet de réserver une place pour les versions antérieures des fichiers qui y sont stockés. Le mécanisme s’applique aux volumes logiques ! vssadmin.exe est l’utilitaire en ligne de commande pour gérer le VSS.
Récupérer les fichiers et les disques formatés
Si vous souhaitez récupérer des fichiers effacés, en insérant le disque de l’utilisateur dans un boîtier USB à partir d’un autre ordinateur, vous pouvez utiliser le gratuiciel Recuva ou encore RecoveRx. Là-encore, les alternatives sont nombreuses et je voudrais vous signaler l’excellente solution Open Source TestDisk & Photorec qui permet de récupérer le contenu de disques formatés.
Les logs du pare-feu
J’attire votre attention sur le fait que vous pouvez journaliser toute l’activité réseau de votre machine grâce au pare-feu Windows. Par défaut, la taille du fichier de journalisation est de 4 Mo. Cela représente environ la consignation de 2 jours d’activité. Windows ne permet pas de fixer une valeur au delà de 32 Mo. Dommage !
La commande pour accéder au pare-feu est wf.msc. Dans les propriétés du pare-feu, allez dans chaque profil et cliquez sur le bouton Personnaliser au niveau de la zone Enregistrement en bas à droite de la boîte de dialogue.
Les informations liées au boot de votre système
Avec l’utilitaire msconfig.exe, vous pouvez journaliser les informations liées au démarrage de votre système. Elle se trouve consignée dans le fichier c:\windows\ntbtlog.txt.
Je vous recommande l’utilisation du gratuiciel Autoruns – mis à disposition par Microsoft – pour l’analyse de l’activité résidente.
L’activité USB
Grâce aux utilitaires USBHistoryView et USB Oblivion, vous pouvez vous faire une idée très précise de l’activité autour des ports USB de votre machine.
La liste des logiciels installés
BCUninstaller vous permet d’avoir une liste très exhaustive des logiciels installés sur la machine.
Les clés Wifi utilisées
Il arrive de plus en plus que les salariés utilisent leur téléphone mobile pour ne pas être tracés par l’entreprise où il travaille.
Il peut être intéressant d’accéder à la liste de tous les clés Wifi utilisées.
Autres fichiers de journalisation
Vous pouvez enfin effectuer une recherche sur vos différents lecteurs logiques des fichiers dont l’extension est .LOG. J’espère n’avoir rien oublié.
Publié initialement le 27/09/2015, modifiés le 14/12/2017 et le 23/10/2019