🔍Forensic

Windows Forensic :

Le registre de tout système Windows contient les cinq clés racine.

Voici comment Microsoft définit chacune de ces clés racine. Pour plus de détails et d'informations sur les clés de registre Windows suivantes, veuillez consulter la documentation de Microsoft .

Dossier/clé prédéfinie

Description

HKEY_CURRENT_USER

Contient la racine des informations de configuration de l'utilisateur actuellement connecté. Les dossiers, les couleurs de l'écran et les paramètres du panneau de configuration de l'utilisateur sont stockés ici. Ces informations sont associées au profil de l'utilisateur. Cette clé est parfois abrégée en HKCU.

HKEY_USERS

Contient tous les profils utilisateur chargés activement sur l'ordinateur. HKEY_CURRENT_USER est une sous-clé de HKEY_USERS. HKEY_USERS est parfois abrégé en HKU.

HKEY_LOCAL_MACHINE

Contient des informations de configuration spécifiques à l'ordinateur (pour tout utilisateur). Cette clé est parfois abrégée en HKLM.

HKEY_CLASSES_ROOT

Il s'agit d'une sous-clé de HKEY_LOCAL_MACHINE\Software. Les informations stockées ici garantissent que le programme approprié s'ouvre lorsque vous ouvrez un fichier à l'aide de l'Explorateur Windows. Cette clé est parfois abrégée en HKCR. À partir de Windows 2000, ces informations sont stockées sous les clés HKEY_LOCAL_MACHINE et HKEY_CURRENT_USER. La HKEY_LOCAL_MACHINE\Software\Classesclé contient des paramètres par défaut qui peuvent s'appliquer à tous les utilisateurs de l'ordinateur local. La HKEY_CURRENT_USER\Software\Classes clé contient des paramètres qui remplacent les paramètres par défaut et s'appliquent uniquement à l'utilisateur interactif. La clé HKEY_CLASSES_ROOT fournit une vue du registre qui fusionne les informations de ces deux sources. HKEY_CLASSES_ROOT fournit également cette vue fusionnée pour les programmes conçus pour les versions antérieures de Windows. Pour modifier les paramètres de l'utilisateur interactif, les modifications doivent être effectuées sous HKEY_CURRENT_USER\Software\Classesplutôt que sous HKEY_CLASSES_ROOT. Pour modifier les paramètres par défaut, les modifications doivent être effectuées sous HKEY_LOCAL_MACHINE\Software\Classes . Si vous écrivez des clés dans une clé sous HKEY_CLASSES_ROOT, le système stocke les informations sous HKEY_LOCAL_MACHINE\Software\Classes. Si vous écrivez des valeurs dans une clé sous HKEY_CLASSES_ROOT et que la clé existe déjà sous HKEY_CURRENT_USER\Software\Classes, le système stockera les informations à cet endroit plutôt que sous HKEY_LOCAL_MACHINE\Software\Classes.

HKEY_CURRENT_CONFIG

Contient des informations sur le profil matériel utilisé par l'ordinateur local au démarrage du système.

Cependant, si vous n'avez accès qu'à une image de disque, vous devez savoir où se trouvent les ruches du registre sur le disque. La majorité de ces ruches se trouvent dans le C:\Windows\System32\Configrépertoire et sont :

  1. PAR DÉFAUT (monté sur HKEY_USERS\DEFAULT)

  2. SAM (monté sur HKEY_LOCAL_MACHINE\SAM)

  3. SECURITY (monté sur HKEY_LOCAL_MACHINE\Security)

  4. SOFTWARE (monté sur HKEY_LOCAL_MACHINE\Software)

  5. SYSTEM (monté sur HKEY_LOCAL_MACHINE\System)

Logiciel utiliser pour le windows Forensic : CAPE |

Cheatsheet Forensics (Source TryHackMe) :

4MB
WindowsForensicsCheatsheet-TryHackMe.pdf
PDF
Ouvrir

Outils utilisé :

Outil
Type d’analyse
Cible principale
Plateforme
Interface

KAPE

Collecte + extraction

Artéfacts Windows (logs, registre, fichiers systèmes)

Windows uniquement

Ligne de commande / GUI

Volatility

Analyse mémoire vive

RAM (dump mémoire)

Multi-plateforme (CLI)

Ligne de commande

Autopsy

Analyse disque

Disques, images disque, fichiers

Windows / Linux

Interface graphique

Autopsy

Autopsy est un logiciel open-source d’analyse forensique numérique utilisé par les enquêteurs pour examiner les disques durs, images disque et autres sources de données dans le cadre d’enquêtes judiciaires ou de cybersécurité. Il permet d'extraire, d’analyser et de visualiser des artefacts numériques tels que les fichiers supprimés, l'historique de navigation, les e-mails, les métadonnées ou encore les traces d’activité utilisateur. Doté d'une interface graphique intuitive, Autopsy repose sur le moteur Sleuth Kit et convient aussi bien aux débutants qu’aux professionnels.

Kape : Windows uniquement

KAPE (Kroll Artifact Parser and Extractor) est un outil forensique Windows développé par Kroll, conçu pour collecter rapidement et analyser des artefacts numériques clés (logs, historiques, fichiers systèmes, etc.) sur une machine cible. Très utilisé en réponse à incident, il permet de cibler des chemins précis, d'extraire les données utiles, puis de les traiter via des modules d'analyse. KAPE est portable, rapide, et hautement personnalisable, ce qui en fait un outil incontournable en investigations Windows.

Volatility

Volatility est un framework d'analyse de mémoire vive (RAM) utilisé principalement en forensic numérique et en cybersécurité. Il permet d'extraire des informations précieuses à partir d'un dump mémoire, ce qui est essentiel pour l'investigation des malwares, la détection d'activités malveillantes et la récupération de données volatiles.

La commande de bases est la suivante :

Informations de base

  • imageinfo : Identifie le profil du système (version Windows, architecture, etc.).

  • kdbgscan : Recherche la structure KDBG dans la mĂ©moire pour valider le profil dĂ©tectĂ©.

Exploration des variables d'environnement

  • envars : Affiche les variables d'environnement pour chaque processus, ce qui peut inclure des informations sensibles ou utiles (comme les chemins d'accès ou les variables personnalisĂ©es).

Analyse des processus

  • pslist : Liste les processus en cours d'exĂ©cution.

  • psscan : Identifie des processus actifs et terminĂ©s.

  • dlllist -p <PID> : Liste les DLL chargĂ©es par un processus.

  • handles -p <PID> : Liste les handles associĂ©s Ă  un processus.

  • cmdline -p <PID> : RĂ©cupère la ligne de commande utilisĂ©e pour lancer un processus.

Analyse réseau

  • netscan : Recherche les connexions rĂ©seau actives et les sockets.

  • connscan : Recherche les connexions rĂ©seau actives.

  • sockets : Liste les sockets ouverts.

  • sockscan : Recherche des structures de sockets dans la mĂ©moire.

Analyse des fichiers et registres

  • filescan : Recherche les structures de fichiers dans la mĂ©moire.

  • dumpfiles : Extrait les fichiers trouvĂ©s avec filescan.

  • hivelist : Localise les registres Windows (hives).

Analyse des threads et des hooks

  • ldrmodules : Identifie les anomalies de chargement de modules (DLL Injection).

Analyse des événements et des journaux

  • evtlogs : Extrait les journaux d'Ă©vĂ©nements Windows.

Analyse des caches et des clés

  • memdump : Dumpe la mĂ©moire brute d’un processus.

  • hashdump : Extrait les hachages des mots de passe des utilisateurs.

Extraction et manipulation de données

  • procdump -p <PID> -D <destination> : Extrait l’espace mĂ©moire d’un processus.

  • malfind : Recherche des signes d'injection de code malveillant.

Astuces et options utiles

  • --profile=<profil> : DĂ©finit le profil manuellement (exemple : Win7SP1x64).

  • -f <fichier> : Indique le fichier de mĂ©moire Ă  analyser.

Steghide

  • CatĂ©gorie : stĂ©ganographie

  • Usage : cacher ou extraire des donnĂ©es dans des fichiers (images, audio…).

  • En CTF / forensics : utilisĂ© pour retrouver des messages ou fichiers cachĂ©s dans une image fournie.

Cacher un fichier (secret.txt) dans une image (image.jpg)

steghide embed -cf image.jpg -ef secret.txt

Extraire les données cachées d'une image

steghide extract -sf image.jpg

Afficher des informations sur le fichier stego

steghide info image.jpg

Exiftool

  • CatĂ©gorie : forensics / analyse de mĂ©tadonnĂ©es

  • Usage : lire et modifier les mĂ©tadonnĂ©es de fichiers (photos, documents, etc.).

  • En forensics : permet de voir la date de prise de vue, le modèle d’appareil, les coordonnĂ©es GPS, le logiciel utilisĂ©, etc. → très utile pour remonter de l’info sur un fichier.

Afficher toutes les métadonnées d'un fichier

exiftool image.jpg

Afficher uniquement certaines infos (ex : modèle appareil + date)

exiftool -Model -DateTimeOriginal image.jpg

Supprimer toutes les métadonnées d'un fichier

exiftool -all= image.jpg

Traiter un dossier entier (sans modifier les originaux, exiftool crée des copies)

exiftool dossier_images/

Binwalk

  • CatĂ©gorie : analyse de binaires / firmware / forensics

  • Usage : analyser la structure interne d’un fichier binaire, extraire des donnĂ©es (archives, images, systèmes de fichiers embarquĂ©s…).

  • En forensics : très utile pour analyser des firmwares, des dumps mĂ©moire, ou des fichiers suspects qui contiennent autre chose “en dessous”.

Analyse simple d'un fichier binaire

binwalk fichier.bin

Analyse + extraction automatique de ce qui est trouvé

binwalk -e fichier.bin

Analyse avec affichage de l'entropie (utile pour repérer des données compressées/chiffrées)

binwalk -E fichier.bin

Analyse récursive (pratique pour les firmwares complexes)

binwalk -Me firmware.bin

Distribution Linux dédier

REMnux – Distribution Linux dédiée à l’analyse de malwares. CAINE – Distribution Linux dédiée à l’investigation numérique. SIFT Workstation – Environnement complet pour l’analyse forensic. Tsurugi Linux – Distribution spécialisée dans l’analyse forensic et OSINT.

PrécédentConnexion / ShellSuivantIngénierie Sociale

Mis Ă  jour