Week 5: Envrironement Windows Flashcards
(20 cards)
Quels sont les objectifs d’apprentissage de cette session ?
Mémoriser les activités de la phase d’examen et les outils associés, et décrire la partition système et la base de registre de Windows.
Quelle est la différence entre l’examen et l’analyse en forensique numérique ?
L’examen identifie et extrait des données (ex : contacts), tandis que l’analyse utilise ces données pour répondre aux questions du mandat (ex : vérifier un numéro appelé).
Quelles sont les étapes clés de l’examen des traces numériques ?
Étude de la mission, vérification de l’intégrité, recherche de traces générales et spécifiques, extraction des fichiers, et documentation des opérations.
Quelles questions directrices guident l’examen d’un environnement Windows ?
OS et fuseau horaire, partitions (types, nombre, taille), comptes utilisateurs, logiciels installés, et besoins spécifiques liés au mandat.
Quelles sont les possibilités d’examen d’un système Windows ?
Examen sur l’OS original (risque de modifications) ou sur une image disque (accès complet mais nécessite de savoir où chercher).
Quels types de traces sont généralement présentes sur un appareil Windows ?
Partitions, OS installé, comptes utilisateurs, logiciels, documents, historiques, fichiers logs, et matériel connecté.
Comment trouver des informations sur l’OS installé via l’interface utilisateur ?
Windows : Paramètres > Système > À propos.
Mac : À propos de ce Mac.
Quels sont les outils classiques pour l’examen et l’analyse forensique ?
Open source : Autopsy, The Sleuth Kit. Commerciaux : X-Ways, EnCase, FTK, Cellebrite, Nuix, Magnet.
Qu’est-ce que la partition système Windows et que contient-elle ?
Partition contenant les fichiers nécessaires au démarrage de Windows, incluant dossiers comme Windows, Users, Program Files, et fichiers cachés (ex : pagefile.sys).
Quelle est la structure typique du dossier utilisateur sous Windows ?
Dossiers comme Desktop, Documents, Downloads, et fichiers cachés (ex : AppData, NTUSER.DAT).
Qu’est-ce que la base de registre Windows et à quoi sert-elle ?
Base de données hiérarchique stockant la configuration du système, des utilisateurs, des logiciels et du matériel.
Quelles sont les clés racines (ruches) principales du registre Windows ?
HKCR (types de fichiers), HKCU (utilisateur actuel), HKLM (configuration système), HKU (tous les utilisateurs), HKCC (configuration matérielle).
Où sont stockés physiquement les fichiers du registre Windows ?
Dans Windows\System32\Config (ex : SAM, SOFTWARE) et dans les profils utilisateurs (ex : NTUSER.DAT dans C:\Users\username).
Quelles informations peut-on trouver dans la ruche HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion ?
Version de l’OS, date d’installation, utilisateurs enregistrés, et chemins système (ex : SystemRoot).
Comment identifier les utilisateurs et leurs profils via le registre ?
Dans HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, chaque SID est associé à un chemin de profil utilisateur.
Quelles traces des dernières activités utilisateur peut-on trouver dans le registre ?
Fichiers récemment ouverts (RecentDocs), commandes exécutées (RunMRU), et applications fréquemment utilisées (UserAssist).
Comment analyser les logiciels installés et exécutés au démarrage ?
Via les clés SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall (installés) et \Run (démarrage). Les logiciels portables nécessitent d’autres méthodes.
Quelles informations matérielles sont stockées dans le registre ?
Interfaces réseau (IP), imprimantes, périphériques USB connectés, et volumes montés (MountedDevices).
Quels outils gratuits permettent d’analyser le registre Windows ?
Registry Explorer, RECmd, RegRipper, WRR, et FTK Registry Viewer.
Quelles sont les conclusions clés sur l’environnement Windows en forensique ?
La partition système et la base de registre fournissent des traces précieuses pour l’analyse, comme les données utilisateur et l’activité système.
