Clés/emplacements de registre pertinents sur le plan médico-légal

Bien qu’une analyse approfondie du Registre nécessite des connaissances spécialisées, plusieurs clés sont fréquemment vérifiées lors des partages d’écran (beaucoup collectées automatiquement par des outils comme le module RECmd de RL Collector) :

  • Paramètres de prélecture : (Vérifier la valeur).HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters EnablePrefetcher

  • Program Compatibility Assistant (PCA) : (Enregistre les chemins de programme avec lesquels PCA a interagi).HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Modérateur d’activité en arrière-plan (BAM) : (Journaux exécutés les chemins d’application et les derniers horodatages d’exécution. Cherchez les entrées supprimées !).HKLM\SYSTEM\CurrentControlSet\Services\bam\State\UserSettings\{User_SID}

  • Assistance utilisateur : (Suiv les lancements de programmes de l’interface graphique, le nombre de runs, les derniers temps d’exécution. Les données sont codées en ROT-13).HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count

  • MRU de dialogue Open/Save : (MRU liste des fichiers ouverts/sauvegardés via des dialogues courants, regroupés par extension). Peut révéler les fichiers de triche, DLL ou configurations récemment accédés.HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU\

  • RecentDocs : (Suit les documents/fichiers récemment consultés, souvent des miroirs . Vérifie s’il est clair).HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs shell:recent

  • Run / RunOnce Keys : , (et variantes Runonce). Emplacements de persistance courants pour les malwares/PUPs.HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  • Historique du stockage USB : (Enregistre les détails des périphériques de stockage USB connectés).HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR

  • Historique du réseau : Différentes clés sous les profils réseau spécifiques à l’utilisateur peuvent révéler l’historique de connexion.HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  • Processeur de commandes Autorun : (Vérifiez si les commandes sont automatiquement exécutées au démarrage – possibilité de contournement).HKLM\SOFTWARE\Microsoft\Command Processor\Autorun cmd.exe

PrécédentAccès au registreSuivantConsidérations clés pour le partage d’écran

Mis à jour