Considérations clés pour le partage d’écran

  • Actions utilisateur vs. système : Tous les changements du Registre ne sont pas malveillants ou initiés par l’utilisateur. Corrélez la clé du registre LastWriteTimes avec d’autres artefacts (prélecture, journal, journaux d’événements) pour établir le contexte. Cherchez un accès manuel via /.regedit.exe reg.exe

  • Autorisations: Les modifications HKLM nécessitent généralement des privilèges administrateurs. Les changements de HKCU sont spécifiques à chaque utilisateur.

  • Timestamps: Concentrez-vous sur le « Dernier temps d’écriture » des clés, indiquant la dernière modification à l’intérieur de cette clé.

  • Valeurs/clés supprimées : Trouver des entrées supprimées, en particulier dans BAM, UserAssist ou OpenSavePidlMRU, via des outils comme Registry Explorer, est un indicateur très fort d’un effraction/d’une falsification délibérée des preuves.

PrécédentClés/emplacements de registre pertinents sur le plan médico-légalSuivantVisualiseur d’événements (usage de base pour les identifiants courants)

Mis à jour