[Forensic] Windows - Artefacts
Introduction
Différents artefacts sont intéressants selon ce que vous cherchez. Beaucoup passent par la base de registre, certains sont des prefetchs, des shell links etc.
Cheat-sheet
Ruches (registres)
| Chemin | Description | |
SAM |
C:\Windows\System32\config\SAM |
Base SAM (Contient la base des utilisateurs) |
| SOFTWARE | C:\Windows\System32\config\SOFTWARE | Contient les informations des logiciels installés sur la machine. |
| SECURITY | C:\Windows\System32\config\SECURITY | |
SYSTEM |
C:\Windows\System32\config\SYSTEM |
|
| NTUSER | C:\Users\<YOUR_USER>\NTUSER.DAT | Contient les informations utilisateurs. |
| USRCLASS | C:\Users\<YOUR_USER>\USRCLASS.dat |
Registres
| Registres | Description | |
| SOFTWARE\Microsoft\Windows NT\CurrentVersion |
Contient toutes les informations systèmes (comme systeminfo). Inclut le Product Name (OS), EditionID, DisplayVersion (version), InstallDate (date de dernière maj), SystemRoot. | |
| SYSTEM\CurrentControlSet\Control\ComputerName\ |
Nom de l'ordinateur. | |
| SYSTEM\CurrentControlSet\Control\TimeZoneInformation |
Fuseau horaires. | |
| SYSTEM\CurrentControlSet\Control\Windows |
Dernière extinction du système. | |
| SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList |
Contient une sous-clé par utilisateur avec toutes les infos utilisateurs. | |
| SAM\Domains\Account\Users |
Dernier login et changement de mot de passe. |
|
| NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion
\Run |
Démarrage automatique (Si clé "Start"=2 alors activé) | |
| NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\
RunOnce |
Démarrage automatique (Si clé "Start"=2 alors activé) | |
| SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
Démarrage automatique (Si clé "Start"=2 alors activé) | |
| SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
Démarrage automatique (Si clé "Start"=2 alors activé) | |
| SYSTEM\CurrentControlSet\Services |
Démarrage automatique (Si clé "Start"=2 alors activé) | |