Autres dossiers/lieux notables

Au-delà des artefacts principaux détaillés ci-dessus, de nombreux autres emplacements spécifiques du système peuvent abriter des preuves précieuses ou fournir un contexte lors d’une enquête. Bien qu’une liste exhaustive dépasse le cadre de cette section fondamentale, les ScreenSharers doivent être conscients de lieux tels que :

  • Planificateur de tâches : (et clés de registre associées). Ce dossier stocke les définitions XML des tâches planifiées configurées pour s’exécuter automatiquement. C’est un lieu courant pour des mécanismes de persistance de malwares ou des scripts conçus pour effectuer des actions (comme effacer les journaux) à des moments ou événements spécifiques (par exemple, la connexion utilisateur). Analyser les définitions de tâches pour détecter des commandes, des chemins ou des déclencheurs suspects est crucial.C:\Windows\System32\Tasks

  • Assistant de compatibilité des programmes (PCA) : . Cet emplacement contient des artefacts tels que et . Ils suivent l’historique d’exécution des applications et les informations de compatibilité. Bien qu’elles soient parfois considérées comme des preuves secondaires, notamment sur les systèmes plus anciens (Windows 7/8) ou lorsque d’autres journaux d’exécution sont effacés, elles peuvent fournir une preuve précieuse et corroborante qu’un programme a été exécuté. (Plus de détails sur l’analyse Amcache/RecentFileCache peuvent être abordés dans les sections ultérieures).C:\Windows\appcompat\pcaAmcache.hveRecentFileCache.bcf

  • Historique PowerShell : . Ce fichier texte brut enregistre les commandes saisies de manière interactive dans les sessions PowerShell par l’utilisateur. Il est inestimable pour identifier les activités manuelles en ligne de commande, y compris l’exécution potentielle de scripts malveillants, la manipulation de fichiers ou les tentatives de désactivation des fonctions de sécurité.%AppData%\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

  • Assistance utilisateur : Ce ne sont pas des dossiers mais des clés spécifiques du registre (situées sous ) qui suivent l’exécution des applications basées sur une interface graphique. Ils stockent des données codées sur les lancements de programmes, y compris le nombre de runs et les horodatages de la dernière exécution. Des outils spécialisés ou un décodage manuel sont nécessaires pour interpréter ces données efficacement.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\

La connaissance de ces emplacements potentiels de preuves élargit la portée d’un partage d’écran complet au-delà des seuls artefacts les plus courants.

PrécédentBac de recyclage (C:$Recycle.bin)SuivantRegistre Windows : Introduction

Mis à jour