Cache d’activités

But et fonction

Le Cache des Activités est un composant clé de la fonctionnalité Timeline de Windows, introduite dans Windows 10 (version 1803) et présente dans Windows 11. L’objectif principal de cette fonctionnalité est de créer un historique riche et chronologique des activités d’un utilisateur — telles que les applications lancées, les documents ouverts et les sites web visités — permettant à l’utilisateur de reprendre des tâches sans interruption sur différentes sessions et même sur différents appareils liés au même compte Microsoft.

Du point de vue du DFIR, la base de données est un artefact exceptionnellement détaillé. Il fournit un journal centré sur l’utilisateur des interactions système, offrant un contexte approfondi non seulement sur les applications exécutées, mais aussi sur la manière et la durée de leur utilisation, les reliant souvent à des fichiers ou ressources spécifiques.ActivitiesCache.db

Localisation et dépendances

Le cache des activités est stocké sous forme de fichier de base de données SQLite dans le profil de chaque utilisateur.

  • Emplacement: C:\Users\%username%\AppData\Local\ConnectedDevicesPlatform\{UserProfile_ID}\ActivitiesCache.db

La population et l’accessibilité de cet artefact dépendent de plusieurs paramètres et services du système :

  • Paramètres système : L’utilisateur doit avoir activé « Historique d’activité » dans ses paramètres de confidentialité Windows.

  • Services système : Le service « Connected User Experiences and Telemetry » (également connu sous le nom de ) doit généralement être en cours d’exécution pour que la base de données soit activement remplie.DiagTrack

  • Chiffrement: Selon la configuration du système et les paramètres du compte utilisateur, le contenu de la base de données peut être chiffré, nécessitant des outils médico-légaux capables de gérer le déchiffrement.

Métadonnées stockées

En tant que base de données SQLite, elle contient plusieurs tables qui stockent une mine d’informations structurées. Les métadonnées clés présentes incluent :ActivitiesCache.db

  • Informations sur la candidature : Le nom et le chemin de l’application qui a généré l’activité (par exemple, , ).javaw.exe explorer.exe

  • Type d’activité : La nature de l’interaction de l’utilisateur (par exemple, , ).UserEngaged Open

  • Temps de concentration : Des horodatages détaillés indiquant le et d’une activité, qui peuvent être utilisés pour calculer la durée d’une application au premier plan.StartTime EndTime

  • Afficher le texte et le contenu : Informations contextuelles riches, telles que le titre de la fenêtre de l’application, le nom du document modifié ou l’URL du site web visité.

  • Données de la charge utile : Souvent, un blob JSON contenant des informations détaillées et spécifiques à l’application sur l’activité, pouvant inclure des chemins de fichiers complets ou d’autres identifiants uniques.

Valeur médico-légale

Le cache des activités offre une vue unique et complète du flux de travail de l’utilisateur, ce qui le rend indispensable pour reconstituer une séquence d’événements.

  • Chronologie riche : Il offre une chronologie plus détaillée et plus contextuelle que de nombreux autres artefacts d’exécution. Cela ne montre pas seulement qu’un programme a été lancé ; Il peut montrer qu’un utilisateur a ouvert un fichier spécifique avec ce programme et a travaillé dessus pendant une durée précise.

  • Corroboration de l’intention de l’utilisateur : Les données peuvent aider à établir l’intention de l’utilisateur. Par exemple, il peut montrer un utilisateur ouvrant un navigateur web, naviguant sur un site de tricheries, téléchargeant un fichier, ouvrant une archive, puis lançant un exécutable depuis celui-ci — le tout comme une série d’activités connectées..zip

  • Persistance: La base de données peut conserver l’historique d’activité pendant une période significative (généralement jusqu’à 30 jours par défaut), préservant des preuves qui pourraient être éliminées d’artefacts plus volatils.

  • Récupération des traces de fichiers supprimés : Il peut contenir des références (par exemple, du texte d’affichage ou des données de charge utile) à des fichiers qui ont depuis été supprimés du système de fichiers, prouvant leur existence et leur utilisation antérieures.

La complexité de la base de données, associée à un chiffrement potentiel, fait que des outils médico-légaux spécialisés sont la méthode recommandée pour l’analyse.

Points de réflexion (Concours SS)

Pour un Screenshareer, la Cache d’Activités peut être la source qui relie toutes les autres preuves en une histoire indéniable.

  • Construire un récit : C’est sa plus grande force dans une SS. Vous ne présentez pas seulement des artefacts isolés ; Vous montrez un récit étape par étape des actions du joueur. Par exemple : « À 15:10, l’activité de votre navigateur indique que vous avez visité . À 15h12, une activité pour WinRAR montre que vous avez ouvert . À 15h13, cette base de données montre l’exécution de .cheats.com SuperAim.zip SuperAim.exe

  • Contrôle de la dépendance : Lors d’une vérification, si cet artefact manque de données alors qu’il devrait être actif, cela pourrait indiquer que l’utilisateur a délibérément désactivé le suivi de l’historique d’activité dans ses paramètres de confidentialité — un acte suspect en soi.

PrécédentRecentFileCacheSuivantMoniteur d’utilisation des ressources système (SRUM)

Mis à jour