Configuration et persistance du système

Un adversaire sophistiqué ou un tricheur vise souvent plus qu’une seule exécution réussie. Ils cherchent à établir une présence persistante sur le système, en veillant à ce que leurs outils fonctionnent automatiquement, survivent aux redémarrages et fonctionnent avec une interaction utilisateur minimale. Ce chapitre se concentre sur les artefacts médico-légaux qui révèlent comment un système est configuré et quels mécanismes sont en place pour la persistance.

L’analyse de ces artefacts permet à une enquête de dépasser la simple simple recherche d’événements isolés et de révéler à la place des activités à long terme, automatisées ou cachées. Nous explorerons les bases de données de configuration principales de Windows ainsi que les journaux qui suivent les événements fondamentaux du système. C’est là que nous répondons à des questions telles que : « Quels programmes sont configurés pour se lancer automatiquement au démarrage ? », « Les services système critiques ont-ils été trafiqués ? » et « Une triche a-t-elle été exécutée depuis une clé USB désormais déconnectée ? »

Ce chapitre abordera :

  • Le registre Windows : Le système nerveux central du système d’exploitation, qui non seulement stocke les paramètres de configuration mais héberge aussi des emplacements critiques de persistance comme les touches et.Run RunOnce

  • Artefacts du planificateur de tâches : Les fichiers et les clés de registre qui définissent les tâches planifiées, un mécanisme puissant et souvent abusé pour automatiser l’exécution de scripts malveillants et de chargeurs.

  • Historique des périphériques USB : La traînée de preuves laissée lorsque des dispositifs de stockage externes sont connectés au système, cruciale pour enquêter sur les triches stockées et lancées depuis des supports amovibles.

  • Journaux d’événements Windows : Les journaux intimes complets et horodatés du système d’exploitation. Ils sont la source ultime pour détecter la falsification au niveau du système, telle que la manipulation de services, la vérification des preuves et l’activité illicite des comptes utilisateurs.

Comprendre ces artefacts est essentiel pour détecter les types de triches les plus insidieux — ceux conçus pour se cacher à la vue de tous en s’intégrant au démarrage et au fonctionnement normaux du système Windows. Ils fournissent les preuves nécessaires pour dénoncer non seulement une action unique, mais une stratégie délibérée et persistante de tromperie.

PrécédentFichiers temporaires ( %temp)SuivantRegistre

Mis à jour