Accès au registre

Plusieurs outils permettent de consulter et d’interagir avec le Registre :

  • Regedit () :regedit.exe

    • L’éditeur graphique intégré de Windows dans le registre.

    • Accessible via Win+R -> . Cela nécessite généralement des privilèges administrateur pour un accès complet.regedit

    • Présente le registre dans une structure arborescente familière (Ruches > Clés > sous-clés). Les valeurs sont affichées dans le panneau de droite.

    • Importance médico-légale : L’exécution directe du prélecture/BAM connecté implique fortement une interaction manuelle de l’utilisateur. Vérifiez la fonction « LastWriteTime » sur les touches dans Regedit (Voir > Afficher la clé Last Write Time) pour voir quand elles ont été modifiées pour la dernière fois. Regedit se souvient aussi de la dernière clé accédée avant la clôture, ce qui peut parfois fournir des indices.regedit.exe

  • Reg.exe :

    • L’utilitaire en ligne de commande pour les opérations de registre (, , , , etc.).reg query reg add reg delete reg compare

    • Importance médico-légale : L’exécution enregistrée dans le préfetch/BAM ou l’historique des commandes indique une manipulation scriptée ou manuelle en ligne de commande, souvent utilisée pour contourner les entrées BAM ou désactiver les fonctions de sécurité.

  • Outils tiers (Registry Explorer, etc.) :

    • Explorateur du registre (Eric Zimmerman) : Un outil médico-légal puissant, gratuit et basé sur une interface graphique, spécifiquement conçu pour l’analyse du Registre. Il peut analyser des ruches Registry en temps réel ou des fichiers ruche hors ligne (par exemple, extraits de ou VSS).C:\Windows\System32\config

    • Fonctionnalités clés du partage d’écran :

      • Indication clé/valeur supprimée : Souvent, cela met en évidence visuellement (par exemple, avec une icône spécifique comme un avertissement entouré en rouge) la présence de clés ou de valeurs supprimées dans la structure d’une ruche chargée. Trouver des entrées récemment supprimées dans des ruches pertinentes sur le plan médico-légal comme BAM ou UserAssist lors de la session de démarrage en cours est une preuve très suspecte de tentatives de nettoyage.

      • Recherche robuste (CTRL+F) : Permet de rechercher entre les clés, les noms de valeurs, les données de valeur, et même l’espace libre pour des chaînes spécifiques, mots-clés, dates (dans UTC) ou tailles de données.

      • Récupération de valeur supprimée : Peut souvent récupérer et afficher les données des clés/valeurs supprimées (généralement surlignées, souvent en texte rouge).

      • Signets: Inclut des signets prédéfinis pointant vers des emplacements forensiques courants (UserAssist, BAM, Run Keys, USBStor, etc.).

      • Affichage horodatage : Affiche clairement le « Dernier temps d’écriture » pour chaque clé, indiquant la dernière fois qu’une valeur ou sous-clé a été modifiée. Affiche par défaut les horodatages en UTC.

    • Note d’utilisation : Il est souvent recommandé de lancer l’Explorateur du registre et de charger les ruches nécessaires (NTUSER. DAT pour l’activité utilisateur, SYSTEM/SOFTWARE pour la configuration système) au début du partage d’écran. Il prend un instantané au moment du chargement et ne se met pas à jour en direct, préservant l’état à ce moment-là contre d’autres changements de l’utilisateur ou du système. Cela nécessite des privilèges d’administrateur.

    • Autres outils : RegScanner (Nirsoft) propose des capacités de recherche alternatives.

PrécédentComprendre le registre WindowsSuivantClés/emplacements de registre pertinents sur le plan médico-légal

Mis à jour