Exécution du programme

Ce chapitre explore la catégorie la plus critique d’artefacts médico-légaux pour toute enquête sur le partage d’écran : l’exécution de programmes. Ces artefacts fournissent les preuves tangibles nécessaires pour répondre à la question fondamentale : un programme non autorisé a-t-il été lancé sur ce système ? Nous explorerons une gamme d’artefacts, allant des journaux haute précision de Prefetch et du Background Activity Moderator (BAM), aux bases de données historiques d’Amcache et du System Resource Usage Monitor (SRUM).

Un concept crucial pour interpréter ces preuves est la précision temporelle — le niveau de détail qu’un artefact fournit sur le moment où un événement s’est produit. Certains artefacts offrent une grande précision, capables de localiser une exécution à la minute et à la seconde. Cela inclut Prefetch, qui enregistre les huit derniers temps d’exécution, et BAM/DAM, qui enregistre l’horodatage de la dernière interaction avec un exécutable. Ils sont les principales sources pour établir des activités récentes et sensibles au temps.

Inversement, d’autres artefacts fournissent une preuve inestimable de l’exécution mais avec moins de granularité temporelle. Des artefacts comme Amcache/Syscache, RecentFileCache, UserAssist et SRUM ne montrent peut-être pas de manière fiable le temps d’exécution le plus récent, mais ils offrent d’autres informations cruciales :

• Preuves historiques : Ils confirment qu’un programme a été exécuté à un moment donné dans le passé, même si d’autres traces plus volatiles ont été effacées.

• Identification via le hachage : Amcache est particulièrement puissant car il stocke le hachage SHA1 d’un exécutable, permettant l’identification même si le fichier a été renommé pour échapper à la détection.

• Contexte utilisateur et système : UserAssist relie directement les exécutions de programmes à un profil utilisateur spécifique, tandis que SRUM fournit des données sur l’utilisation du réseau et la consommation de ressources, aidant à attribuer l’activité et à comprendre son impact.

• Persévérance à long terme : Le SRUM et le cache d’activités peuvent conserver les données d’exécution pendant des semaines ou des mois, survivant souvent aux tentatives de nettoyage qui ciblent des artefacts plus courants.