Windows Forensics

TP5 – Windows forensic artifacts

Les artéfacts d’intérêt sous Windows sont des éléments de données laissés derrière par le
système d'exploitation ou les applications lors de l'utilisation d'un ordinateur. Ils sont essentiels
dans les enquêtes numériques forensiques, car ils peuvent fournir des preuves sur l'activité des
utilisateurs, des événements survenus sur le système, ou des traces de malwares. Ces artefacts
sont souvent stockés dans des fichiers, des bases de données, des registres ou la mémoire.

Voici certains des principaux artéfacts d'intérêt sous Windows pour les enquêtes numériques
forensiques :

1. Fichiers d'événements Windows (Event Logs)

Les journaux d'événements Windows sont une source importante d'informations. Ils enregistrent
diverses actions, telles que les connexions d'utilisateurs, les échecs de connexion, l'installation
de logiciels, les erreurs système, etc.

- Localisation : `C:\Windows\System32\winevt\Logs\`

- Types d'événements : Événements système, de sécurité, d'application, etc.

2. Registre Windows (Windows Registry)

Le registre Windows est une base de données hiérarchique qui stocke les paramètres de bas
niveau pour le système d'exploitation Microsoft Windows et pour les applications qui
choisissent d'utiliser le registre.

Le noyau, les pilotes de périphérique, les services, le gestionnaire de comptes de sécurité

(SAM) et l'interface utilisateur peuvent tous utiliser le registre.

Le registre contient des informations auxquelles Windows fait constamment référence pendant
son fonctionnement, telles que les profils de chaque utilisateur, les applications installées sur
l'ordinateur et les types de documents que chacun peut créer, les propriétés des dossiers et des
icônes d'application, le matériel existant sur le système, et les ports utilisés.

- Clés importantes :

- HKEY_LOCAL_MACHINE\Software : Informations sur les logiciels installés.

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run :
Programmes exécutés au démarrage.
- HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices : Informations sur les disques montés.

Les ruches du registre sont stockées dans le répertoire %SystemRoot%\System32\config.

Anas ABOU EL KALAM

Notion de « ruche »

Une ruche est un groupe logique de clés, de sous-clés et de valeurs dans le registre, qui contient
un ensemble de fichiers de prise en charge contenant des sauvegardes de ses données.

Chaque fois qu'un nouvel utilisateur ouvre une session sur un ordinateur, un nouveau répertoire
est créé pour cet utilisateur avec un fichier distinct pour le profil utilisateur. Ceci s'appelle la
ruche de profil d'utilisateur.

La ruche d'un utilisateur contient des informations de registre spécifiques concernant ses
paramètres d'application, son bureau, son environnement, ses connexions réseau et ses
imprimantes. Les ruches de profil utilisateur se trouvent sous la clé HKEY_USERS.

Les ruches spécifiques à l’utilisateur (NTUSER.DAT) sont stockées dans le répertoire

C:\Users\<username>.

Anas ABOU EL KALAM

 Ruches Fichier

HKEY_CURRENT_CONFIG System, System.alt, System.log, System.sav

HKEY_CURRENT_USER Ntuser.dat, Ntuser.dat.log

HKEY_LOCAL_MACHINE\SAM Sam, Sam.log, Sam.sav

HKEY_LOCAL_MACHINE\Security Security, Security.log, Security.sav

HKEY_LOCAL_MACHINE\Software Software, Software.log, Software.sav

HKEY_LOCAL_MACHINE\System System, System.alt, System.log, System.sav

HKEY_USERS\.DEFAULT Default, Default.log, Default.sav

Voici à quoi correspond chaque ruche :

 SAM (gestionnaire de compte de sécurité) : contient toutes les informations de

comptes utilisateurs et de droits d'accès ;
 Security : le noyau y accédera pour lire et appliquer la politique de sécurité applicable
à l'utilisateur actuel et à toutes les applications ou opérations exécutées par cet
utilisateur ;
 Default : ruche utilisée par le compte système local. Utilisée par les
programmes et services exécutés en tant que système local ;
 System : contient des informations sur la configuration du système Windows, la liste
des périphériques montés contenant un système de fichiers, ainsi que plusieurs "HKLM \
SYSTEM \ Control Sets" numérotés, contenant d'autres configurations de pilotes de
système et de services exécutés sur le système local ;
 Software : contient le logiciel et les paramètres Windows, principalement
modifiés par les installateurs d'applications et de systèmes ;
 Ntuser.dat : contient les paramètres spécifiques à chaque utilisateur (les profils
itinérants l'utilisent).
Il est possible de dumper les fichiers de registre avec FTK Imager.

Anas ABOU EL KALAM

Dump du registre
Les fichiers extraits seront ensuite stockés dans votre répertoire pour analyse.

Registre dumpé
Pour explorer ces fichiers, il est possible d'utiliser un outil tel que « RegRipper ». Pour cela,
il faudra sélectionner le fichier NTUSER.DAT du profil de la victime, ici JohnOC. Puis
sélectionner le nom du rapport à générer et le profil a utiliser ; ici nous choisissons le profil
"ntuser".

RegRipper Une fois cela terminé, un rapport sera généré. Si nous recherchons dans les clés
RUN que nous avons précédemment identifiées avec Volatility, nous retrouvons rapidement
notre clé de registre malveillante.

Anas ABOU EL KALAM

3. Historique de navigation web

Les navigateurs Web stockent des informations sur les sites visités, les téléchargements, les
cookies, et les caches. Ces données peuvent être cruciales pour comprendre les habitudes en
ligne d'un utilisateur ou pour retracer des activités malveillantes.

- Localisation des artefacts :

- Microsoft Edge : `C:\Users\[Utilisateur]\AppData\Local\Microsoft\Edge\User

Data\`
- Google Chrome : `C:\Users\[Utilisateur]\AppData\Local\Google\Chrome\User
Data\`

4. Historique des fichiers récents (Jump Lists)

Les Jump Lists sont des listes d'accès rapide aux fichiers et programmes utilisés récemment.
Elles peuvent révéler des documents récemment ouverts, ainsi que des programmes
fréquemment utilisés.

- Localisation : C:\Users\[Utilisateur]\AppData\Roaming\Microsoft\Windows\Recent\

5. Thumbs.db et IconCache.db

Ces fichiers contiennent des miniatures des images et documents que l'utilisateur a visualisés.
Ils sont souvent utilisés pour montrer des prévisualisations dans l'explorateur Windows. Ces
artefacts peuvent être utiles pour retracer l'accès à des fichiers supprimés ou modifiés.

Anas ABOU EL KALAM

- Localisation : Les fichiers Thumbs.db sont stockés dans les répertoires contenant des images.
IconCache.db est situé dans
`C:\Users\[Utilisateur]\AppData\Local\Microsoft\Windows\Explorer\`.

6. Prefetch Files

Les Prefetch sont des fichiers créés par le système lorsqu’une application s’exécute sur le
système. Les fichiers Prefetch sont utilisés par Windows pour accélérer le démarrage des
programmes. Ils contiennent des informations sur les programmes qui ont été récemment
exécutés, y compris leur chemin d'accès et la fréquence d'utilisation.

Les fichiers Prefetch sont d'excellents artefacts pour analyser les applications exécutées sur un
système.

Windows crée un fichier Prefetch (.pf) lorsqu'une application est exécutée pour la première fois
à partir d'un emplacement particulier. Cela permet d’accélérer le chargement des applications.
La fonctionnalité «Prefetch» de Windows est généralement activée par défaut.

Le répertoire Prefetch contiendra un enregistrement historique des 128 derniers programmes

"uniques" exécutés sur le système. Les Prefetch se trouvent dans le répertoire
C:\Windows\Prefetch. En les classant par ordre chronologique, il sera possible d’identifier les
programmes qui se sont exécutés sur le système.

- Localisation : `C:\Windows\Prefetch\`

7. Fichiers Pagefile.sys et Hiberfil.sys

Le fichier Pagefile.sys est utilisé pour la gestion de la mémoire virtuelle (swap) et contient
des parties de la RAM déplacées vers le disque dur. Hiberfil.sys est utilisé lorsque le système
entre en mode hibernation et stocke l'état de la mémoire.

- Utilité : Ces fichiers peuvent contenir des fragments de processus, de documents, ou même de
sessions réseau qui peuvent être récupérés lors d'une analyse forensique.

- Localisation Pagefile.sys : `C:\pagefile.sys`

- Localisation Hiberfil.sys : `C:\hiberfil.sys`

8. Fichiers de logs de connexions réseau (Netstat, Network Logs)

Windows stocke également des informations sur les connexions réseau, qui peuvent être
récupérées pour analyser l'activité réseau passée. Les fichiers Netstat fournissent des
informations sur les connexions TCP actives, tandis que les logs de pare-feu et d'autres outils
réseau peuvent être exploités pour les enquêtes.

- Commande PowerShell pour les connexions actives :

netstat -an | Out-File "C:\Forensics\NetworkConnections.txt"

9. Historique des connexions USB

Windows enregistre les périphériques USB connectés au système, y compris les informations
telles que la marque, le modèle et la dernière fois où ils ont été utilisés.
Anas ABOU EL KALAM
- Localisation dans le registre :
`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`

10. Volume Shadow Copy (Copies instantanées de volume)

Les Volume Shadow Copies sont des sauvegardes des fichiers qui peuvent être utilisées pour
récupérer des versions précédentes des fichiers, même s'ils ont été supprimés ou modifiés. Elles
peuvent être cruciales dans une enquête forensique pour accéder à des données perdues.

- Localisation : Les données sont stockées dans `C:\System Volume Information`, mais des
outils comme ShadowExplorer peuvent être utilisés pour les explorer.

11. Logs du pare-feu Windows (Windows Firewall Logs)

Le pare-feu Windows enregistre les événements relatifs aux connexions réseau entrantes et
sortantes, ce qui peut aider à identifier les comportements anormaux ou malveillants.

- Localisation : `C:\Windows\System32\LogFiles\Firewall\pfirewall.log`

12. Fichiers LNK (Raccourcis)

Les fichiers LNK sont des raccourcis créés pour accéder rapidement à des fichiers, des dossiers
ou des programmes. Ils contiennent des informations sur l'emplacement cible, la date d'accès, et
peuvent même conserver une partie du chemin du fichier d'origine, même si celui-ci a été
déplacé ou supprimé.

- Localisation : Partout sur le disque, souvent dans `C:\Users\[Utilisateur]\Desktop\`.

13. Artifacts de l'Explorateur de fichiers (Shellbags)

Les Shellbags sont des enregistrements dans le registre qui conservent des informations sur les
dossiers récemment accédés et leur disposition dans l'explorateur de fichiers. Cela peut aider à
retracer les dossiers que l'utilisateur a consultés, même s'ils ont été supprimés.

- Localisation dans le registre :

- `HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU`

- `HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags`

14. Artefacts d'exécution de logiciels malveillants

Des traces d'exécution de logiciels malveillants peuvent souvent être trouvées dans les autoruns,
les services installés, les tâches planifiées, et les processus en cours.

- Localisation : Utilisation d'outils comme Autoruns (de Sysinternals) pour analyser les points
de persistance malveillants.

Windows event logs

Anas ABOU EL KALAM

Les event logs Windows sont des journaux qui répertorient chaque action de chaque
application sur le système, tels que les messages d’erreur, d’information et de warning. Il est
possible d’y accéder en utilisant l’outil natif Event Viewer.

Windows Event Viewer

Les catégories de logs se trouvent sur le panneau de gauche et vous donnent l’accès aux
événements liés à cette catégorie. Pour obtenir plus d’informations sur un évènement, il est
possible d’utiliser le site www.eventid.net.

Pour extraire les event logs, il est possible d’utiliser FTK Imager. Sous Windows, les logs se
situent dans le répertoire %SystemRoot%\System32\Winevt\Logs.

Anas ABOU EL KALAM

Enfin, il sera possible de les analyser sur un autre système avec le logiciel Event Log
Explorer « https://eventlogxp.com/downloads/ » . Il est payant, mais la démo est
utilisable 30 jours.

Les services

Les services Windows sont des applications qui démarrent généralement au démarrage de
l'ordinateur et s'exécutent silencieusement en arrière-plan jusqu'à son arrêt. À proprement parler,
un service est une application Windows implémentée avec l'API de services et gérant des tâches
de bas niveau, ne requérant que peu ou pas d'interaction de l'utilisateur. Les malwares peuvent
utiliser cette fonctionnalité de Windows pour rester persistants.

Les techniques de persistance permettent à un malware de se réexécuter même après que le

système ait rebooté. Les techniques de persistance utilisées par les malwares sont nombreuses.

Il est possible d’y accéder avec l’interface native services.msc.

Anas ABOU EL KALAM

Dans la capture ci-dessus, aucun service malveillant n'a été créé.

Utilisez Autopsy pour analyser la copie du disque

Ici, nous allons utiliser le framework Autopsy téléchargeable à cette adresse

« https://www.sleuthkit.org/autopsy/ ». Autopsy est une interface graphique de l’outil open
source The Sleuth Kit.

Créez une enquête (Etude de cas)

La première étape est de créer notre enquête, ou case dans Autopsy. Pour cela, ouvrez Autopsy
et cliquez sur New Case.

Anas ABOU EL KALAM

Nous nommons ici notre case "IR_001".

Remplir ensuite les informations de base : le numéro de l'enquête ainsi que le nom de
l’enquêteur.

Maintenant que notre cas est créé dans Autopsy, nous allons pouvoir ajouter notre image
disque.

Ajouter les images à analyser

Ensuite, il faudra ajouter l’image du disque dur précédemment collectée, en cliquant sur Add
Data Source.

Anas ABOU EL KALAM

Il est ensuite possible de spécifier les modules.

Anas ABOU EL KALAM

Enfin, les données seront analysées et parsées par Autopsy. Vous devriez avoir un écran comme
ci-dessous. Le processing peut durer un certain temps en fonction de la taille de votre image.

Analyse des données

Lorsque les données ont fini d’être parsées par Autopsy, il est possible d’explorer notre image.

Anas ABOU EL KALAM

Par exemple, il est possible de voir les différents types de fichiers sur le système. Ici nous
affichons par exemple les exécutables sur le système, et nous retrouvons nos exécutables
suspects.

Nous récupérons ici les différent fichiers précédemment identifiés en faisant un clic droit, puis
Extract File.

Les différents fichiers exécutables récupérés sont les suivants :

 rad5163B.tmp.exe ;
 RGoEsDNcZhEnl.exe ;
 rfhyMVOQxfc.exe ;
 bVwHCYX.exe.

En faisant une recherche par type de fichier ou par fichiers récents, nous trouvons des fichiers
suspects ouverts juste avant l'incident: invoice.pdf, invoice.zip et invoice.docm.

Anas ABOU EL KALAM

Extraction fichier PDF

Extraction fichiers zip et DOCM

Nous pouvons ajouter ça à nos indices pour l'investigation !

Anas ABOU EL KALAM

Il est également possible d’afficher les fichiers avec l’utilisation de chiffrement. Ci- dessous,
nous pouvons voir que le fichier invoice.zip utilise du chiffrement.

Extraction fichier zip

Il est possible de générer une timeline directement avec Autopsy. Une fois les fichiers
analysés, vous pourrez explorer les différents événements et filtrer sur les dates de l’incident. Ici
nous filtrons sur la date d'infection correspondant au 31 juillet 2019.

Anas ABOU EL KALAM

Timeline

Enfin, il sera possible de générer un rapport en cliquant sur « Generate Report ».

Autopsy report

Le rapport généré sera au format HTML et vous y retrouverez de nombreuses informations

analysées par Autopsy.

En résumé

Dans ce chapitre, nous avons exploré les éléments d’intérêt pour notre analyse sur la copie du
disque dur. Nous avons vu comment analyser et collecter la base de registre, les event logs ou
encore les services. Finalement, nous avons vu comment utiliser le framework Autopsy pour
analyser notre image disque.

Nous avons pu confirmer que l'attaquant a utilisé un moyen de persistance en créant une clé run
avec le nom YPDKhVAXzZSU qui démarre le script VBS
C:\Users\johnoc\AppData\Local\Temp\krtYMkVgyjNdd.vbs.

Nous avons également récupéré les logiciels malveillants identifiés, ainsi qu'un fichier
invoice.pdf, un fichier invoice.docm et un fichier invoice.zip.

Anas ABOU EL KALAM