Jump Lists – Forensgeek

Forensics

Bonjour à tous, aujourd’hui on continue la série Forensgeek avec l’usage des Jump Lists pour la forensics.

C’est quoi les Jump Lists ?

Alors vous voyez dans L’explorateur Windows quand vous cliquez avec le bouton droit sur un icône de la barre des tâches ? comme ci dessous ? bah c’est ça les jump lists simplement.

Jump Lists

Comme les jumps lists sont gérées automatiquement par le système d’exploitation. leur analyse permet de mettre en avant l’exécution de programme ou l’accès à des fichiers. Un petit peu comme pour les Windows Shortcut Files vu la semaine dernière vous récupérerez au passage un timestamp des accès ainsi qu’un chemin ? Comme pour les Lnk, ca fonctionne également si le fichier ou programme source à été supprimé d’où l’intérêt pour la forensics.

C’est où les jump lists ?

Les Jump lists sont stockées dans le repertoire C:\Users\$Username\AppData\Roaming\Microsoft\Windows\Recent

Comme pour les shortcuts pour ceux qui suivent… en fait pas tout à fait, les Jump Lists sont stockées dans 2 sous dossier cachés : AutomaticDestinations et CustomDestinations. Elle se présente sous la forme de fichier au extensions .automaticDestinations-ms et .customDestinations-ms.

Le nom du fichier avant l’extension est en fait un identifiant de l’application auxquel … Lire la suite

Windows Shortcut Files (LNK) – Forensgeek

Forensics

Bonjour à tous, ça doit bien faire une semaine qu’on a pas fait de forensics, non ? Aujourd’hui on continue la série forensgeek avec les Windows Shortcut Files (LNK) pour la forensics !

Les Windows Shortcut Files (LNK) en forensics ?

Vous allez me dire : « mais pourquoi tu nous parles des lnk ? on connait c’est les raccourcis Windows ! ». Alors oui, c’est bien de ça dont on va parler. Déjà, on va commencer par un rappel. Même si les .lnk de Windows ressemblent à des liens symboliques sous Unix, c’est pas tout à fait la même chose. un lien symbolique peut être utilisé exactement comme si vous tapiez sur le fichier réel pointé par celui ci. Alors qu’un lnk, c’est juste une extension de fichier qui défini un « format de pointeur » vers un autre fichier. Et comme vous le disiez, à peu près tout les utilisateur de Windows connaissent le principe des raccourcis.

Ce que les gens sachent beaucoup moins, c’est que l’OS de Microsoft génère aussi, en sous-marin, des raccourcis sans rien dire à personne. Assez simplement lorsqu’un fichier est ouvert dans l’explorateur Windows ou lors de l’exécution d’un programme, un raccourcis peut … Lire la suite

SRUM (System Ressource Utilization Manager) – Forensgeek

Forensics

Bonjour à tous, aujourd’hui on continue la série Forensgeek avec un nouveau TP sur un élément analysable en investigation post-mortem, le SRUM (System Ressource Utilization Manager).

C’est quoi SRUM et ça sert à quoi ?

Le SRUM est présent depuis Windows 8 et enregistre l’activité relative à l’utilisation des ressources dans le système. On y retrouve des informations sur cycles CPU, les I/O disque ou réseau ou encore les notifications. C’est une sorte de journal d’évènements de performances des applications.

C’est où ?

Alors vous pouvez visualiser, partiellement, les informations dans le gestionnaire de tâches, onglet Historique des applications.

Après c’est une vue incomplète au dessus. L’ensemble des données est accessible dans deux emplacement :

  1. Le registre et la clé HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions. Attention, vous n’avez ici que les informations relatives à la dernière heure au maximum (purge horaire et celui-ci est aussi purgé à l’arrêt du système).
  2. le fichier SRUDB.dat dans C:\WINDOWS\System32\sru, mais vous n’avez pas la possibilité d’accéder facilement à ce fichier tant que le système est en ligne.

Pour les curieux le format du .dat, c’est un ESE pour Extensible Storage Engine (ESE). C’est un format propriétaire Microsoft, un peu à l’image d’un SQLlite ou vous avez … Lire la suite

ShellBags for Forensics – Forensgeek

Forensics

Bonjour à tous, aujourd’hui je continue mes TP forensics et on va s’attaquer aux Shellbags (sacs à coquillage 🙂 ) et leur utilisation pour l’analyse à froid.

C’est quoi les Shellbags ?

Le plus simple pour réaliser ce que sont les Shellbags est de constater que lorsque vous fermer et rouvrez l’explorateur Windows, la fenêtre de celui-ci est rouverte exactement à la même position, avec la même taille de fenêtre et le même ordonnancement des éléments. Bah voilà, les shellbags ça sert à ça et donc à améliorer l’expérience utilisateur. Donc lorsqu’un utilisateur ouvre un répertoire ou change un élément de configuration d’une fenêtre (tri, affichage), un ShellBag est créé.

C’est où et il y a quoi dans un ShellBag ?

Alors contrairement au prefetch qu’on a vu la semaine dernière. Les Shellbags ne sont pas stockés sous forme de fichier mais dans le registre. Les clés qui nous intéressent aujourd’hui sont :

  • HKCU\Software\Microsoft\Windows\Shell\BagMRU
  • HKCU\Software\Microsoft\Windows\Shell\Bags
  • HKU\{SID}_Classes\LocalSettings\Software\Microsoft\Windows\Shell\BagMRU
  • HKU\{SID}_Classes\LocalSettings\Software\Microsoft\Windows\Shell\Bags

(Pour les anciens, sous Windows XP et 2003 le chemin de registre est : HKU\{SID}\Software\Microsoft\Windows\Shell\ et HKU\{SID}\Software\Microsoft\Windows\ShellNoRoam)

ShellBags

Au final dans le registre reste bien un « fichier » (point de magie dans ce bas monde) sur votre disque et dans le cadre … Lire la suite