search

🔍Forensic

hashtag
Windows Forensic :

Le registre de tout système Windows contient les cinq clés racine.

Voici comment Microsoft définit chacune de ces clés racine. Pour plus de détails et d'informations sur les clés de registre Windows suivantes, veuillez consulter la documentation de Microsoftarrow-up-right .

Dossier/clé prédéfinie

Description

HKEY_CURRENT_USER

Contient la racine des informations de configuration de l'utilisateur actuellement connecté. Les dossiers, les couleurs de l'écran et les paramètres du panneau de configuration de l'utilisateur sont stockés ici. Ces informations sont associées au profil de l'utilisateur. Cette clé est parfois abrégée en HKCU.

HKEY_USERS

Contient tous les profils utilisateur chargés activement sur l'ordinateur. HKEY_CURRENT_USER est une sous-clé de HKEY_USERS. HKEY_USERS est parfois abrégé en HKU.

HKEY_LOCAL_MACHINE

Contient des informations de configuration spécifiques à l'ordinateur (pour tout utilisateur). Cette clé est parfois abrégée en HKLM.

HKEY_CLASSES_ROOT

Il s'agit d'une sous-clé de HKEY_LOCAL_MACHINE\Software. Les informations stockées ici garantissent que le programme approprié s'ouvre lorsque vous ouvrez un fichier à l'aide de l'Explorateur Windows. Cette clé est parfois abrégée en HKCR. À partir de Windows 2000, ces informations sont stockées sous les clés HKEY_LOCAL_MACHINE et HKEY_CURRENT_USER. La HKEY_LOCAL_MACHINE\Software\Classesclé contient des paramètres par défaut qui peuvent s'appliquer à tous les utilisateurs de l'ordinateur local. La HKEY_CURRENT_USER\Software\Classes clé contient des paramètres qui remplacent les paramètres par défaut et s'appliquent uniquement à l'utilisateur interactif. La clé HKEY_CLASSES_ROOT fournit une vue du registre qui fusionne les informations de ces deux sources. HKEY_CLASSES_ROOT fournit également cette vue fusionnée pour les programmes conçus pour les versions antérieures de Windows. Pour modifier les paramètres de l'utilisateur interactif, les modifications doivent être effectuées sous HKEY_CURRENT_USER\Software\Classesplutôt que sous HKEY_CLASSES_ROOT. Pour modifier les paramètres par défaut, les modifications doivent être effectuées sous HKEY_LOCAL_MACHINE\Software\Classes . Si vous écrivez des clés dans une clé sous HKEY_CLASSES_ROOT, le système stocke les informations sous HKEY_LOCAL_MACHINE\Software\Classes. Si vous écrivez des valeurs dans une clé sous HKEY_CLASSES_ROOT et que la clé existe déjà sous HKEY_CURRENT_USER\Software\Classes, le système stockera les informations à cet endroit plutôt que sous HKEY_LOCAL_MACHINE\Software\Classes.

HKEY_CURRENT_CONFIG

Contient des informations sur le profil matériel utilisé par l'ordinateur local au démarrage du système.

Cependant, si vous n'avez accès qu'à une image de disque, vous devez savoir où se trouvent les ruches du registre sur le disque. La majorité de ces ruches se trouvent dans le C:\Windows\System32\Configrépertoire et sont :

  1. PAR DÉFAUT (monté sur HKEY_USERS\DEFAULT)

  2. SAM (monté sur HKEY_LOCAL_MACHINE\SAM)

  3. SECURITY (monté sur HKEY_LOCAL_MACHINE\Security)

  4. SOFTWARE (monté sur HKEY_LOCAL_MACHINE\Software)

  5. SYSTEM (monté sur HKEY_LOCAL_MACHINE\System)

Logiciel utiliser pour le windows Forensic : CAPE |

hashtag
Cheatsheet Forensics (Source TryHackMe) :

file-pdf
4MB
WindowsForensicsCheatsheet-TryHackMe.pdf
PDF
arrow-up-right-from-squareOuvrir

hashtag
Outils utilisé :

Outil
Type d’analyse
Cible principale
Plateforme
Interface

KAPE

Collecte + extraction

Artéfacts Windows (logs, registre, fichiers systèmes)

Windows uniquement

Ligne de commande / GUI

Volatility

Analyse mémoire vive

RAM (dump mémoire)

Multi-plateforme (CLI)

Ligne de commande

Autopsy

Analyse disque

Disques, images disque, fichiers

Windows / Linux

Interface graphique

hashtag
Autopsy

Autopsy est un logiciel open-source d’analyse forensique numérique utilisé par les enquêteurs pour examiner les disques durs, images disque et autres sources de données dans le cadre d’enquêtes judiciaires ou de cybersécurité. Il permet d'extraire, d’analyser et de visualiser des artefacts numériques tels que les fichiers supprimés, l'historique de navigation, les e-mails, les métadonnées ou encore les traces d’activité utilisateur. Doté d'une interface graphique intuitive, Autopsy repose sur le moteur Sleuth Kit et convient aussi bien aux débutants qu’aux professionnels.

hashtag
Kape : Windows uniquement

KAPE (Kroll Artifact Parser and Extractor) est un outil forensique Windows développé par Kroll, conçu pour collecter rapidement et analyser des artefacts numériques clés (logs, historiques, fichiers systèmes, etc.) sur une machine cible. Très utilisé en réponse à incident, il permet de cibler des chemins précis, d'extraire les données utiles, puis de les traiter via des modules d'analyse. KAPE est portable, rapide, et hautement personnalisable, ce qui en fait un outil incontournable en investigations Windows.

hashtag
Volatility

Volatility est un framework d'analyse de mémoire vive (RAM) utilisé principalement en forensic numérique et en cybersécurité. Il permet d'extraire des informations précieuses à partir d'un dump mémoire, ce qui est essentiel pour l'investigation des malwares, la détection d'activités malveillantes et la récupération de données volatiles.

La commande de bases est la suivante :

Informations de base

  • imageinfo : Identifie le profil du système (version Windows, architecture, etc.).

  • kdbgscan : Recherche la structure KDBG dans la mémoire pour valider le profil détecté.

Exploration des variables d'environnement

  • envars : Affiche les variables d'environnement pour chaque processus, ce qui peut inclure des informations sensibles ou utiles (comme les chemins d'accès ou les variables personnalisées).

Analyse des processus

  • pslist : Liste les processus en cours d'exécution.

  • psscan : Identifie des processus actifs et terminés.

  • dlllist -p <PID> : Liste les DLL chargées par un processus.

  • handles -p <PID> : Liste les handles associés à un processus.

  • cmdline -p <PID> : Récupère la ligne de commande utilisée pour lancer un processus.

Analyse réseau

  • netscan : Recherche les connexions réseau actives et les sockets.

  • connscan : Recherche les connexions réseau actives.

  • sockets : Liste les sockets ouverts.

  • sockscan : Recherche des structures de sockets dans la mémoire.

Analyse des fichiers et registres

  • filescan : Recherche les structures de fichiers dans la mémoire.

  • dumpfiles : Extrait les fichiers trouvés avec filescan.

  • hivelist : Localise les registres Windows (hives).

Analyse des threads et des hooks

  • ldrmodules : Identifie les anomalies de chargement de modules (DLL Injection).

Analyse des événements et des journaux

  • evtlogs : Extrait les journaux d'événements Windows.

Analyse des caches et des clés

  • memdump : Dumpe la mémoire brute d’un processus.

  • hashdump : Extrait les hachages des mots de passe des utilisateurs.

Extraction et manipulation de données

  • procdump -p <PID> -D <destination> : Extrait l’espace mémoire d’un processus.

  • malfind : Recherche des signes d'injection de code malveillant.

Astuces et options utiles

  • --profile=<profil> : Définit le profil manuellement (exemple : Win7SP1x64).

  • -f <fichier> : Indique le fichier de mémoire à analyser.

hashtag
Steghide

  • Catégorie : stéganographie

  • Usage : cacher ou extraire des données dans des fichiers (images, audio…).

  • En CTF / forensics : utilisé pour retrouver des messages ou fichiers cachés dans une image fournie.

Cacher un fichier (secret.txt) dans une image (image.jpg)

steghide embed -cf image.jpg -ef secret.txt

Extraire les données cachées d'une image

steghide extract -sf image.jpg

Afficher des informations sur le fichier stego

steghide info image.jpg

hashtag
Exiftool

  • Catégorie : forensics / analyse de métadonnées

  • Usage : lire et modifier les métadonnées de fichiers (photos, documents, etc.).

  • En forensics : permet de voir la date de prise de vue, le modèle d’appareil, les coordonnées GPS, le logiciel utilisé, etc. → très utile pour remonter de l’info sur un fichier.

Afficher toutes les métadonnées d'un fichier

exiftool image.jpg

Afficher uniquement certaines infos (ex : modèle appareil + date)

exiftool -Model -DateTimeOriginal image.jpg

Supprimer toutes les métadonnées d'un fichier

exiftool -all= image.jpg

Traiter un dossier entier (sans modifier les originaux, exiftool crée des copies)

exiftool dossier_images/

hashtag
Binwalk

  • Catégorie : analyse de binaires / firmware / forensics

  • Usage : analyser la structure interne d’un fichier binaire, extraire des données (archives, images, systèmes de fichiers embarqués…).

  • En forensics : très utile pour analyser des firmwares, des dumps mémoire, ou des fichiers suspects qui contiennent autre chose “en dessous”.

Analyse simple d'un fichier binaire

binwalk fichier.bin

Analyse + extraction automatique de ce qui est trouvé

binwalk -e fichier.bin

Analyse avec affichage de l'entropie (utile pour repérer des données compressées/chiffrées)

binwalk -E fichier.bin

Analyse récursive (pratique pour les firmwares complexes)

binwalk -Me firmware.bin

hashtag
Distribution Linux dédier

REMnux – Distribution Linux dédiée à l’analyse de malwares. CAINEarrow-up-right – Distribution Linux dédiée à l’investigation numérique. SIFT Workstation – Environnement complet pour l’analyse forensic. Tsurugi Linuxarrow-up-right – Distribution spécialisée dans l’analyse forensic et OSINT.

PrécédentConnexion / ShellSuivantGlossaire

Mis à jour