Activité et connaissance des utilisateurs

Alors que les chapitres précédents se concentraient sur les preuves laissées par les programmes et le système de fichiers, ce chapitre déplace l’attention vers l’utilisateur lui-même. Les artefacts évoqués ici offrent une fenêtre sur les actions directes, les intentions et les connaissances de la personne qui utilise le système. Ils aident à répondre à des questions cruciales au-delà de la simple exécution : que faisait l’utilisateur ? Où ont-ils regardé ? Qu’ont-ils téléchargé ? Quelles commandes ont-ils tapées ?

Comprendre ces artefacts est essentiel pour construire un récit complet d’un incident. Il permet à un analyste de passer de l’identification d’un fichier suspect à la démonstration de l’intention de l’utilisateur et de son implication active dans son déploiement. Nous explorerons les indices numériques laissés par les interactions quotidiennes avec le système d’exploitation, de la navigation dans les dossiers à la navigation sur le web en passant par la ligne de commande.

Ce chapitre abordera :

  • Sacs à coquillage : Des clés de registre qui suivent méticuleusement l’historique de navigation des dossiers d’un utilisateur, prouvant qu’il avait « connaissance » et qu’il a accédé à certains répertoires, même si ces répertoires sont désormais vides ou supprimés.

  • Historique des commandes PowerShell : Un journal en texte brut de chaque commande saisie de manière interactive dans la console PowerShell, offrant un aperçu non filtré de l’administration manuelle du système et des activités potentielles anti médico-légales.

  • Fichiers temporaires : Le contenu du dossier, qui peut révéler des archives récemment extraites ou des fichiers spécifiques de bibliothèque, comme , qui sont les caractéristiques de certaines applications.%temp% JnativeHook

En analysant ces artefacts, une enquête peut découvrir le contexte entourant un fichier malveillant, en retracer l’origine jusqu’à un téléchargement, et révéler les commandes explicites utilisées pour l’exécuter ou le dissimuler. Ils sont la clé pour transformer une collection de données techniques en un récit cohérent d’action utilisateur.

PrécédentFlux de données alternatifs (ADS)SuivantSacs à coquillages

Mis à jour