Week 6: Artefacts Windows

Question 1

Quelles sont les étapes du processus NIST ?

Answer 1

Documentation, Collection, Examination, Analysis, Reporting.

Question 2

Quels sont les aspects des médias en criminalistique numérique ?

Answer 2

Data, Information, Evidence.

Question 3

Quelles sont les techniques et activités forensiques OSAC ?

Answer 3

Techniques: Recovery, Enhancement, Preservation, Documentation, Integration.

Activités: Survey, Preservation, Examination, Analysis, Interpretation.

Question 4

Quel est l’objectif de l’analyse de traces numériques ?

Answer 4

Obtenir plus d’informations sur les traces et les combiner pour une compréhension globale.

Question 5

Quelles sont les étapes de la stratégie analytique ?

Answer 5

Étude de la demande, prise en compte des supports, analyse des données.

Question 6

Pourquoi une demande précise est-elle importante ?

Answer 6

Pour s’assurer qu’elle est réalisable et dans les limites des compétences.

Question 7

Quelles vérifications sont nécessaires pour les supports ?

Answer 7

Continuité de la preuve, adéquation avec la demande, intégrité physique/logique, copie forensique, prévention contamination.

Question 8

Quelles sont les étapes de la stratégie d’analyse ?

Answer 8

Exploitation de l’environnement, pré-traitements, recherche de traces, analyse, rapport.

Question 9

Quelles informations donne l’analyse d’un disque système ?

Answer 9

Type, nombre/taille des partitions, espace libre.

Question 10

Comment identifier la version de Windows ?

Answer 10

Via les fichiers System32 (SECURITY.LOG2, SOFTWARE) ou outils comme WRR.

Question 11

Quel outil détermine la date d’installation de Windows ?

Answer 11

WRR (Windows Registry Recovery) de MITeC.

Question 12

Où sont les comptes utilisateurs sous Windows ?

Answer 12

Dans la base de registres SAM (via WRR).

Question 13

Que contiennent les profils utilisateurs ?

Answer 13

Dossiers (Documents, Images) et fichiers système (NTUSER.DAT).

Question 14

Comment trouver le fuseau horaire configuré ?

Answer 14

Clé de registre BOOTControlSoft001ContentTimeZonalInformation.

Question 15

Quelles sont les fonctionnalités des logiciels “tout en un” ?

Answer 15

Importation d’images, pré-traitement, parsing, carving, analyse temporelle, reporting.

Question 16

Quel outil analyse les fichiers Prefetch ?

Answer 16

PECmd d’Eric Zimmerman.

Question 17

Que contiennent les fichiers .lnk ?

Answer 17

Dates (création/modification/accès), taille, volume, chemin original.

Question 18

Où sont les fichiers .lnk ?

Answer 18

C:\Users%username%\AppData\Roaming\Microsoft\Windows\Recent.

Question 19

Que stockent les fichiers Prefetch ?

Answer 19

Nom de l’exécutable, nombre de lancements, date dernière exécution, fichiers chargés.

Question 20

Où sont les fichiers Prefetch ?

Answer 20

C:\Windows\Prefetch.

Question 21

Quels outils analysent les Prefetch ?

Answer 21

PECmd, WRR, Autopsy (Windows Prefetch Extractor).

Question 22

Que sont les JumpLists ?

Answer 22

Données sur les applications exécutées (chemin, taille, dates).

Question 23

Où est la clé des JumpLists ?

Answer 23

HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache\AppCompatCache.

Question 24

Où est la Corbeille sous Windows ?

Answer 24

Dans $Recycle.Bin (racine des volumes logiques).

Question 25

Que contiennent les fichiers $I ?

Answer 25

Date effacement, chemin, taille du fichier original.

Question 26

Où sont les journaux d'évènements Windows ?

Answer 26

C:\Windows\System32\winevt\logs (.evtx).

Question 27

Quels sont les principaux journaux ?

Answer 27

Application, Security, System, Setup, ForwardedEvents.

Question 28

Comment analyser les e-mails ?

Answer 28

Outlook: .ost dans AppData\Local\Microsoft\Outlook. Thunderbird: Profiles dans AppData\Roaming\Thunderbird.

Question 29

Différence entre USB et USBSTOR ?

Answer 29

USB: périphériques généraux. USBSTOR: stockage (clés/disques).

Question 30

Comment analyser les réglages réseaux ?

Answer 30

Base de registres SYSTEM (cartes réseaux, adresses IP).