Articles récents ( shell : récent )

  • But: Ce dossier shell spécial stocke des raccourcis (fichiers) pointant vers des fichiers et dossiers que l’utilisateur a récemment ouverts ou consultés via des interactions Windows standard (par exemple, ouvrir un fichier dans une application, sauvegarder un document). Sa fonctionnalité et sa population dépendent des paramètres Windows liés au suivi des éléments récents..lnk

  • Emplacement: Le dossier se trouve à . On peut y accéder rapidement via la boîte de dialogue Exécuter (Win+R) en tapant et en appuyant sur Entrée.C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recentshell:recent

  • Format de fichier : Contient des fichiers (raccourcis). Chaque fichier contient des métadonnées pointant vers le fichier ou dossier cible d’origine (l'« élément lié »), incluant son chemin et potentiellement des horodatages liés à la création/modification/accès de la cible (stockés dans le raccourci lui-même) ainsi que le temps de création/modification du raccourci..lnk.lnk

  • Valeur médico-légale :

    • Fournit un contexte précieux sur les activités et interactions récentes de l’utilisateur avec des fichiers, applications ou emplacements de stockage spécifiques.

    • Bien que trouver des preuves directes de triches (comme un raccourci apparaissant ici) soit moins courant dans les scénarios modernes et parfois considéré comme une méthode de détection primaire quelque peu « désuidée », la présence de raccourcis vers des lieux inhabituels, de fichiers temporaires ou d’archives récemment téléchargées peut corroborer les découvertes d’autres artefacts..dll

    • Cela aide à construire un récit des actions des utilisateurs.

  • Artefacts et défrichage associés : Le contenu du dossier est étroitement lié à :shell:recent

    • Listes de sauts : Celles-ci fournissent les éléments récemment consultés par application, accessibles en cliquant droit sur les icônes de la barre des tâches ou dans le menu Démarrer. Les données de la liste de saut sont stockées séparément dans et les fichiers situés dans et . Le nettoyage ne permet pas nécessairement d’effacer les données de la liste de saut..automaticDestinations-ms.customDestinations-ms%AppData%\Microsoft\Windows\Recent\AutomaticDestinations\CustomDestinations\shell:recent

    • Clés du registre RecentDocs : Situé sous . Effacer ces clés de registre entraîne souvent (mais pas toujours) le nettoyage du contenu du dossier. Les preuves de suppression de ces clés (par exemple, via les journaux d’utilisation) peuvent être suspectes.HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocsshell:recentreg.exe

PrécédentFichiers temporaires ( %temp % )SuivantBac de recyclage (C:$Recycle.bin)

Mis à jour