Vos traces sur un système Windows

Dans le cadre de formations que je donne sur la cybersurveillance, je suis amené à indiquer les différents moyens de retrouver la trace d’une action passée sur un système Windows. Tous ces outils peuvent être utilisés à l’occasion d’une analyse Post-Mortem consécutive à une attaque informatique.

Le répertoire Prefetch

A moins que le prefetcher soit désactivé, le répertoire c:\windows\prefetch contient la liste de tous les programmes qui ont été exécutés sur un système Windows 7/8/10. Cette fonctionnalité est désactivée sur les environnements Windows Server 2008/2012/2016. La présence de l’appel à un bac à sable tel que Sandboxie n’est pas forcément bon signe !

Dans la même lignée, je vous recommande le programme ExecutedProgramsList qui vous permet de lister tous les programmes qui ont été exécutés sur votre machine.

Les ShellBags

Les « ShellBags » permettent de conserver l’agencement des dossiers que vous avez ouverts. Ils indiquent la date à laquelle vous y avez accédé. Pour en obtenir une liste, vous disposez de deux outils :

Le MUICache

Dans le même registre, sachez que Windows stocke dans son registre la liste des dernières applications utilisées au niveau de la  clé HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache. Pour visualiser et supprimer la liste de ces applications, vous disposez du logiciel MUICacheView de Nirsoft.

Un nouveau programme signé Nirsoft, ExcutedProgramsList, permet d’obtenir la liste des derniers programmes exécutés à partir du dossier c:\windows\prefetch et des clés de registre suivantes :

Le gestionnaire d’événements

Il permet d’accéder aux journaux Windows verrouillés par le système, stockés dans le répertoire C:\windows\system32\config aux côtés des principaux fichiers qui constituent la base de registre. Vous y accédez grâce au progamme eventvwr.exe ou eventvwr.msc.

Les fichiers temporaires

Ils sont accessibles à partir des variables d’environnement fixées dans les paramètres système avancés de votre configuration Windows.

Variables d'environnement TEMP et TMP dans les paramètres système avancés de Windows

Les caches de navigation et autres traces

Pour Internet Explorer, vous pouvez y accéder à partir du répertoire %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files. Sous Firefox,/Chromium tapez about:cache à partir de la barre d’adresse ! Dans Firefox, vous pouvez aussi consulter toutes les adresses consultées par about:networking.

Sous Chromium encore, pour consulter toutes les informations disponibles, tapez chrome://chrome-urls.

Pour accéder à ces caches de navigation et aux autres traces laissés sur votre système, vous pouvez aussi utiliser la version gratuite de l’excellent gratuiciel Ccleaner associé à CCEnhancer. Il existe d’ailleurs de nombreuses alternatives à Ccleaner comme BleachBit qui est une des rares solutions Open Source dans ce domaine !

Les certificats

De nombreux certificats sont visibles au travers de la console certmgr.msc.

Les clichés instantanés

C’est un mécanisme appelé VSS ou Volume Shadow copy Service, qui permet de réserver une place pour les versions antérieures des fichiers qui y sont stockés. Le mécanisme s’applique aux volumes logiques ! vssadmin.exe est l’utilitaire en ligne de commande pour gérer le VSS.

Les clichés instantanés

Récupérer les fichiers et les disques formatés

Si vous souhaitez récupérer des fichiers effacés, en insérant le disque de l’utilisateur dans un boîtier USB à partir d’un autre ordinateur, vous pouvez utiliser le gratuiciel Recuva. Là-encore, les alternatives sont nombreuses et je voudrais vous signaler l’excellente solution Open Source TestDisk & Photorec qui permet de récupérer le contenu de disques formatés.

Les logs du pare-feu

J’attire votre attention sur le fait que vous pouvez journaliser toute l’activité réseau de votre machine grâce au pare-feu Windows. Par défaut, la taille du fichier de journalisation est de 4 Mo. Cela représente environ la consignation de 2 jours d’activité. Windows ne permet pas de fixer une valeur au delà de 32 Mo. Dommage !

La commande pour accéder au pare-feu est wf.msc. Dans les propriétés du pare-feu, allez dans chaque profil et cliquez sur le bouton Personnaliser au niveau de la zone Enregistrement en bas à droite de la boîte de dialogue.

Personnaliser l'enregistrement de la journalisation au niveau des propriétés du pare-feu Windows

Les informations liées au boot de votre système

Avec l’utilitaire msconfig.exe, vous pouvez journaliser les informations liées au démarrage de votre système. Elle se trouve consignée dans le fichier c:\windows\ntbtlog.txt.

Journaliser le démarrage de Windows

Je vous recommande l’utilisation du gratuiciel Autoruns – mis à disposition par Microsoft – pour l’analyse de l’activité résidente.

L’activité USB

Grâce aux utilitaires USBHistoryView et USB Oblivion, vous pouvez vous faire une idée très précise de l’activité autour des ports USB de votre machine.

Autres fichiers de journalisation

Vous pouvez enfin effectuer une recherche sur vos différents lecteurs logiques des fichiers dont l’extension est .LOG. J’espère n’avoir rien oublié.

Publié initialement le 27/09/2015, modifié le 14/12/2017

Sécurité  / Bleachbit CCleaner Confidentialité des données Cybersurveillance Formateur cybersurveillance Formateur Sécurité informatique Formateur Sécurité Windows Journalisation Pare-feu Windows Sécurité informatique Windows 

Commentaires

Article très intéressant, merci.

Merci Denis pour toutes ces informations pertinentes.

Hyper merci pr ces infos.c’est capital!

Bonjour,
Merci pour cet article. Peut-on trouver un fichier log qui donne tout ce qui a été taper en console cmd avec la date et l’heure ?
un truc du genre:

22/12/2016 10:22:12 dir
22/12/2016 10:22:14 cd..
22/12/2016 10:22:18 mkdir toto
….

La touche de fonction F7 permet de disposer d’une liste dont je ne sais même pas comment l’exporter.

Bien, on en apprend, mais il manque

1 – ARPCache
2 – UserAssist
et StreamMRU y’a quoi là dedans ?

Moi il me manque un programme qui inspecterait en toile de fond tous les fichiers pour me dire en temps réel si un fichier a été supprimé, créé ou modifié.
Voir même me donnant un bilan en fin de session seulement.
Ca me paraît pourtant basique.

Pour ARP, arp -a.

Il y a osFoRensics aussi qui est intéressant pour analyser toutes ses traces. C’est utilisé par la police et le FBI, donc c’est que c’est efficace. La version trial offre quelques jours gratuits, le temps de vérifier quelques trucs.

@Chris

Est-ce bien nécessaire ? ;+)

Laisser un commentaire

(requis)

(requis)