Descriptio

Commande Usage
n

Fournit des
détails
complets
Saisir dans le
sur le
terminal pour
système
générer un
d’exploitati
systeminfo rapport sur
on, la
les
mémoire,
spécifications
les
du système.
correctifs
installés,
etc.

Affiche les
information
s sur la Aide à
version, identifier
l’édition et l’environneme
wmic os get Caption, Version, OSArchitecture
l’architectur nt logiciel
e du pour
système l’analyse.
d'exploitati
on.

Liste tous
les
Vérifie les
utilisateurs
comptes
net user locaux
actifs ou
configurés
suspects.
sur la
machine.

Vérifie les
Affiche
horodatages
l’état de la
des
synchronisa
w32tm /query /status événements
tion de
pour la
l’horloge
corrélation
système.
des logs.

tasklist Liste tous Permet

les d’identifier
 Descriptio
Commande Usage
n

processus
en cours
des processus
d'exécution
suspects.
sur le
système.

Utile pour
détecter des
Liste les
activités
processus
suspectes,
en cours
tasklist /v comme des
avec des
exécutions
information
prolongées ou
s détaillées.
des noms
étranges.

Liste tous Identifie les

les services services
sc query
actifs sur le malveillants
système. potentiels.

Affiche les
Détecte les
programme
logiciels
s configurés
malveillants
wmic startup get Caption, Command, User pour
qui se lancent
démarrer
au
avec
démarrage.
Windows.

Liste les
connexions Utilisé pour
réseau identifier des
actives et connexions
netstat -ano
les ports suspectes ou
ouverts non
avec leurs autorisées.
PID.

netstat -abno Affiche les Permet de lier

processus une
derrière connexion
chaque suspecte à un
connexion processus
 Descriptio
Commande Usage
n

réseau. spécifique.

Donne la
configuratio Permet de
n réseau détecter des
détaillée, y configurations
ipconfig /all
compris les réseau
DNS et les modifiées ou
adaptateurs suspects.
réseau.

Affiche la Utile pour

table de détecter des
route print routage routes réseau
réseau non
actuelle. autorisées.

Vérifie les
Liste les
fichiers ou
partages
net share répertoires
réseau
partagés sur
actifs.
le réseau.

Récupère
Analyse les
les 100
erreurs ou
derniers
wevtutil qe System /c:100 /f:text anomalies
événement
système
s du journal
récentes.
système.

Récupère
Vérifie les
les 100
connexions
derniers
wevtutil qe Security /c:100 /f:text réussies/écho
événement
uées (ID
s de
4624, 4625).
sécurité.

wevtutil epl Security [Link] Exporte les Facilite

logs de l’analyse des
sécurité logs sur un
dans un outil dédié.
fichier au
format
 Descriptio
Commande Usage
n

EVTX.

Liste les Identifie les

fichiers fichiers
triés par récemment
dir /s /t:w /o-d date de modifiés pour
dernière repérer des
modificatio activités
n. suspectes.

Détecte les
Liste les
tâches
tâches
automatiques
planifiées
schtasks /query /fo LIST /v ou
avec des
malveillantes
détails
ajoutées par
complets.
un attaquant.

Utile pour
Liste les
analyser les
fichiers
openfiles fichiers en
ouverts sur
cours
le système.
d’utilisation.

Affiche les
programme
s configurés
pour
Vérifie les clés
reg query HKLM\\SOFTWARE\\Microsoft\\ démarrer
de registre
Windows\\CurrentVersion\\Run au
suspectes.
lancement
de Windows
(local
machine).

Affiche les
Permet de
programme
repérer des
s de
reg query HKCU\\SOFTWARE\\Microsoft\\ programmes
démarrage
Windows\\CurrentVersion\\Run lancés à l’insu
pour
de
l’utilisateur
l’utilisateur.
courant.
 Descriptio
Commande Usage
n

Liste les Identifie des

sessions connexions
utilisateur suspectes à
qwinsta
ouvertes distance ou
sur la non
machine. autorisées.

Vérifie les
Affiche les droits et
permissions permissions
icacls C:\\Windows\\System32 pour le modifiés dans
dossier des
spécifié. répertoires
critiques.

Vérifie si des
droits
Affiche les
administratifs
privilèges
whoami /priv ou élevés sont
utilisateur
actifs pour un
actuels.
utilisateur non
autorisé.

Liste les Permet de

DLL détecter des
injectées modules
tasklist /m
dans les suspects
processus chargés en
actifs. mémoire.

Calcule le
Vérifie
hash
l’intégrité des
SHA256
fichiers
d’un fichier
critiques pour
certutil -hashfile file_path SHA256 pour le
détecter des
comparer à
modifications
une
non
référence
autorisées.
connue.

Extension : Plus de commandes forensic utiles

Commande Description Usage

Affiche les sessions Vérifie les connexions réseau

net session
réseau ouvertes. suspectes.

Vérifie l’état NetBIOS et

Détecte des noms non autorisés
nbtstat -n les noms associés au
ou malveillants sur le réseau.
système.

Affiche les tables ARP

Repère des adresses IP non
arp -a (Address Resolution
reconnues ou suspectes.
Protocol).

fsutil fsinfo Liste tous les disques Identifie des périphériques non
drives connectés au système. autorisés ou récemment ajoutés.

Analyse l’état du disque

Utile pour repérer des anomalies
chkdsk C: pour détecter des
sur le système de fichiers.
erreurs.

Peut aider à repérer des

Liste les profils
modifications pour empêcher la
powercfg /list d’alimentation du
mise en veille pendant une
système.
attaque.

Fournit des détails

Liste les processus en complémentaires aux
Get-Process
cours avec PowerShell. commandes de gestion des
tâches.

Get-EventLog - Identifie des erreurs ou activités

Affiche les événements
LogName suspectes liées aux applications
des applications.
Application installées.

Outil de gestion des

Utilisé pour répertorier et gérer
diskpart disques intégré à
les partitions de disque.
Windows.

Liste les attributs des

Détecte des fichiers cachés ou
attrib fichiers (cachés,
modifiés.
système, lecture seule).