Forensics : vos traces sur un système Windows

Dans le cadre de formations que je donne sur la cybersurveillance, je suis amené à indiquer les différents moyens de retrouver la trace d’une action passée sur un système Windows. Tous ces outils peuvent être utilisés à l’occasion d’une analyse Forensics Post-Mortem consécutive à une attaque informatique, à un chiffrement de données ou à un effacement de données.

Le répertoire Prefetch

A moins que le prefetcher soit désactivé, le répertoire c:\windows\prefetch contient la liste de tous les programmes qui ont été exécutés sur un système Windows 7/8/10. Cette fonctionnalité est désactivée sur les environnements Windows Server 2008/2012/2016. La présence de l’appel à un bac à sable tel que Sandboxie n’est pas forcément bon signe !

Dans la même lignée, je vous recommande le programme ExecutedProgramsList qui vous permet de lister tous les programmes qui ont été exécutés sur votre machine.

Les ShellBags

Les « ShellBags » permettent de conserver l’agencement des dossiers que vous avez ouverts. Ils indiquent la date à laquelle vous y avez accédé. Pour en obtenir une liste, vous disposez de deux outils :

Le MUICache

Dans le même registre, sachez que Windows stocke dans son registre la liste des dernières applications utilisées au niveau de la  clé HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache. Pour visualiser et supprimer la liste de ces applications, vous disposez du logiciel MUICacheView de Nirsoft.

Un nouveau programme signé Nirsoft, ExcutedProgramsList, permet d’obtenir la liste des derniers programmes exécutés à partir du dossier c:\windows\prefetch et des clés de registre suivantes :

Le gestionnaire d’événements

Il permet d’accéder aux journaux Windows verrouillés par le système, stockés dans le répertoire C:\windows\system32\config aux côtés des principaux fichiers qui constituent la base de registre. Vous y accédez grâce au programme eventvwr.exe ou eventvwr.msc.

Les fichiers temporaires

Ils sont accessibles à partir des variables d’environnement fixées dans les paramètres système avancés de votre configuration Windows.

Variables d'environnement TEMP et TMP dans les paramètres système avancés de Windows

Les caches de navigation et autres traces

Pour Internet Explorer, vous pouvez y accéder à partir du répertoire %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files. Sous Firefox/Chromium tapez about:cache à partir de la barre d’adresse ! Dans Firefox, vous pouvez aussi consulter toutes les adresses consultées par about:networking.

Sous Chromium encore, pour consulter toutes les informations disponibles, tapez chrome://chrome-urls.

Pour accéder à ces caches de navigation et aux autres traces laissées sur votre système, vous pouvez aussi utiliser la version gratuite des gratuiciels Wise Disk Cleaner et Ccleaner associé à CCEnhancer. Il existe d’ailleurs de nombreuses alternatives à Ccleaner comme BleachBit qui est une des rares solutions Open Source dans ce domaine !

Les certificats

De nombreux certificats sont visibles au travers de la console certmgr.msc. Pour les lister en PowerShell, ça donne :

Get-ChildItem Cert:\ -Recurse|Select-Object FriendlyName|Where-Object {$_.FriendlyName -ne ''}|Sort-Object -Unique -Property FriendlyName

Les clichés instantanés

C’est un mécanisme appelé VSS ou Volume Shadow copy Service, qui permet de réserver une place pour les versions antérieures des fichiers qui y sont stockés. Le mécanisme s’applique aux volumes logiques ! vssadmin.exe est l’utilitaire en ligne de commande pour gérer le VSS.

Les clichés instantanés

Récupérer les fichiers et les disques formatés

Si vous souhaitez récupérer des fichiers effacés, en insérant le disque de l’utilisateur dans un boîtier USB à partir d’un autre ordinateur, vous pouvez utiliser le gratuiciel Recuva ou encore RecoveRx. Là-encore, les alternatives sont nombreuses et je voudrais vous signaler l’excellente solution Open Source TestDisk & Photorec qui permet de récupérer le contenu de disques formatés.

Les logs du pare-feu

J’attire votre attention sur le fait que vous pouvez journaliser toute l’activité réseau de votre machine grâce au pare-feu Windows. Par défaut, la taille du fichier de journalisation est de 4 Mo. Cela représente environ la consignation de 2 jours d’activité. Windows ne permet pas de fixer une valeur au delà de 32 Mo. Dommage !

La commande pour accéder au pare-feu est wf.msc. Dans les propriétés du pare-feu, allez dans chaque profil et cliquez sur le bouton Personnaliser au niveau de la zone Enregistrement en bas à droite de la boîte de dialogue.

Personnaliser l'enregistrement de la journalisation au niveau des propriétés du pare-feu Windows

Les informations liées au boot de votre système

Avec l’utilitaire msconfig.exe, vous pouvez journaliser les informations liées au démarrage de votre système. Elle se trouve consignée dans le fichier c:\windows\ntbtlog.txt.

Journaliser le démarrage de Windows

Je vous recommande l’utilisation du gratuiciel Autoruns – mis à disposition par Microsoft – pour l’analyse de l’activité résidente.

L’activité USB

Grâce aux utilitaires USBHistoryView et USB Oblivion, vous pouvez vous faire une idée très précise de l’activité autour des ports USB de votre machine.

La liste des logiciels installés

BCUninstaller vous permet d’avoir une liste très exhaustive des logiciels installés sur la machine.

Les clés Wifi utilisées

Il arrive de plus en plus que les salariés utilisent leur téléphone mobile pour ne pas être tracés par l’entreprise où il travaille.

Il peut être intéressant d’accéder à la liste de tous les clés Wifi utilisées.

Autres fichiers de journalisation

Vous pouvez enfin effectuer une recherche sur vos différents lecteurs logiques des fichiers dont l’extension est .LOG. J’espère n’avoir rien oublié.

Publié initialement le 27/09/2015, modifiés le 14/12/2017 et le 23/10/2019

Sécurité /

deneme bonusu veren siteler casino siteleri betdenemebonusu.com bahis siteleri Ev eşyası depolama Depolama Şehirlerarası evden eve nakliyat Evden eve nakliyat Eşya depolama yurtdışına ev taşıma Türkiye'den Almanya'ya ev taşıma zati eşya tasimaciligi uluslararasi zati eşya tasimaciligi eşya depolama şehirler arası nakliyat asansörlü nakliyat greatplay.net güvenilir online bahis siteler 2022 jetbahis Rexbet hovarda mobilbahis güncel adres sartsız Deneme Bonus sekabet maltcasino güncel adres> pinbahis100.com betduman.com olabahis.top سایت شرط بندی shartkade.com 1xbet-mobil.com beykoz evden eve nakliyat ataşehir evden eve nakliyat şişli evden eve nakliyat istanbul evden eve nakliyat
teens porn videos free sex xxx sexy videos