[Forensic] Windows - Artefacts
Introduction
Différents artefacts sont intéressants selon ce que vous cherchez. Beaucoup passent par la base de registre, certains sont des prefetchs, des shell links etc.
Cheat-sheet
Ruches (registres)
| Ruches | Chemin | Description |
| SAM | C:\Windows\System32\config\SAM | Base SAM (Contient la base des utilisateurs) |
| SOFTWARE | C:\Windows\System32\config\SOFTWARE | Contient les informations des logiciels installés sur la machine. |
| SECURITY | C:\Windows\System32\config\SECURITY | |
| SYSTEM | C:\Windows\System32\config\SYSTEM | |
| NTUSER | C:\Users\<YOUR_USER>\NTUSER.DAT | Contient les informations utilisateurs. |
| USRCLASS | C:\Users\<YOUR_USER>\USRCLASS.dat |
Registres
| Registres | Description |
| SOFTWARE\Microsoft\Windows NT\CurrentVersion |
Contient toutes les informations systèmes (comme systeminfo). Inclut le Product Name (OS), EditionID, DisplayVersion (version), InstallDate (date de dernière maj), SystemRoot. |
| SYSTEM\CurrentControlSet\Control\ComputerName\ |
Nom de l'ordinateur. |
| SYSTEM\CurrentControlSet\Control\TimeZoneInformation |
Fuseau horaires. |
| SYSTEM\CurrentControlSet\Control\Windows |
Dernière extinction du système. |
| SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList |
Contient une sous-clé par utilisateur avec toutes les infos utilisateurs. |
| SAM\Domains\Account\Users |
Dernier login et changement de mot de passe. |
| NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run |
Démarrage automatique (Si clé "Start"=2 alors activé) |
| NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\RunOnce |
Démarrage automatique (Si clé "Start"=2 alors activé) |
| SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
Démarrage automatique (Si clé "Start"=2 alors activé) |
| SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
Démarrage automatique (Si clé "Start"=2 alors activé) |
| SYSTEM\CurrentControlSet\Services |
Démarrage automatique (Si clé "Start"=2 alors activé) |
| NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs |
Fichiers récents : Sous-clé contenant les 20 dernières entrées pour chaque type de fichiers, en format binaire. |
| NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU |
Dernières application exécutées. |
| NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU |
Sous clés contenant le nom des 20 derniers fichiers enregistrés, par extensions. |
| NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery |
Recherches entrées par l'utilisateur dans l’explorateur, en unicode. |
| NTUSER\Software\Microsoft\Windows\CurrentVersion\ Explorer\RunMRU |
Seulement les commandes valides entrées dans l'invite RUN (WIN+R). |
| SYSTEM\CurrentControlSet\Enum\USBSTOR |
Périphériques USB branchés. (FriendlyName=Nom, ClassGUID=Identifiant Unique) |
| SOFTWARE\Microsoft\Windows Portable\Devices\Devices |
Une clé par périphérique, avec le FriendlyName. |
| SYSTEM\MountedDevices |
Lettre de périphérique avec identifiant. |
| SOFTWARE\Microsoft\Windows\Search\VolumeInfoCache |
Une clé par périphérique, avec le Volume Label. |
Shell Links
Vous pouvez retrouver vos shell links à l'emplacement suivant :
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\Vous pouvez traiter vos shell links avec l'outil d'Eric Zemmour :
LECmd.exe –f your-shell-link.lnkJumplists
Vous pouvez retrouver vos jumplists à l'emplacement suivant :
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinationsVous pouvez traiter vos jumplists avec l'outil d'Eric Zimmerman JumpListExplorer :
