Windows Forensic Analysis

HackingLinuxPentesting
Erdanay -
3 h 55 min

What’s up guys ?

Today I will present an article explaining the main lines of Windows forensic analysis

Lors de l’analyse judiciaire de Windows, il peut être assez difficile de voir une grande quantité de données à collecter, en supposant que vous savez ce que vous recherchez. Si vous ne savez pas ce que vous cherchez, l’ensemble du processus devient très difficile !!!

 

  • Qu’est-ce que l’analyse judiciaire Windows ?

Windows Forensic Analysis se concentre sur 2 choses :

  1. Analyse approfondie du système d’exploitation Windows.
  2. Analyse des artefacts du système Windows.

Les artefacts Windows sont les objets qui contiennent des informations sur les activités effectuées par l’utilisateur Windows. Le type d’information et l’emplacement de l’artefact varient d’un système d’exploitation à l’autre. Ils contiennent des informations sensibles qui sont collectées et analysées au moment du forensic analysis.

 

  • Que sont les artefacts du Forensic Analysis ?

Les artefacts forensic analysis sont les objets qui ont une certaine valeurs. Tout objet contenant des données ou des preuves de quelque chose qui s’est produit, comme les journaux, le registre, les ruches et bien d’autres. Dans cette section, nous allons passer en revue certains des artefacts forensic analysis qu’un enquêteur médico-légal recherche lors de l’exécution d’une analyse dans Windows.

 

– Rapport d’erreurs Windows : cette fonctionnalité permet à l’utilisateur d’informer Microsoft des défauts d’application, des défauts du noyau, des applications qui ne répondent pas et d’autres problèmes spécifiques aux applications :

  • Exécution du programme, si un programme malveillant se bloque pendant l’exécution du programme. 
    
C:\ProgramData\Microsoft\Windows\WER\ReportArchive
C:\Users\XXX\AppData\Local\Microsoft\Windows\WER\ReportArchive
C:\ProgramData\Microsoft\Windows\WER\ReportQueue
C:\Users\XXX\AppData\Local\Microsoft\Windows\WER\ReportQueue

 

– Cache du protocole de bureau à distance : lors de l’utilisation du client « mstc » fourni par Windows, RDP peut être utilisé pour se déplacer latéralement sur le réseau. Des fichiers cache sont créés contenant les sections de l’écran de la machine à laquelle nous sommes connectés et qui changent rarement. Ces fichiers de cache peuvent se trouver dans le répertoire :

C:\Users\XXX\AppData\Local\Microsoft\Cache

Des outils comme BMC-Tools peuvent être utilisés pour extraire des images stockées dans ces fichiers cache.

 

– Navigateurs : les navigateurs Web contiennent de nombreuses informations telles que :

  • Cookies.
  • Données de site Web mises en cache.
  • Fichiers téléchargés.

 

– Corbeille : la corbeille de Windows contient de superbes artefacts tels que :

  • Fichier $1 contenant les métadonnées. Vous pouvez trouver ce fichier sous le chemin  C:\$Recycle.Bin\SID*\$Ixxxxxx
  • Fichier $R contenant le contenu des fichiers supprimés. Ce fichier peut être situé sous le chemin C:\$Recycle.Bin\SID*\$Rxxxxxx
  • Le fichier $1 peut être analysé à l’aide d’un outil $1 Parse.

 

– Fichiers de pré-lecture « Prefetch » : ces fichiers contiennent une multitude d’informations telles que :

  • Nom de l’application.
  • Chemin de candidature.
  • Horodatage de la dernière exécution.
  • Horodatage de création.

Ces fichiers peuvent être situés sous le répertoire : C:\Windows\Prefetch\ . Vous pouvez utiliser des outils tels que Windows Prefetch Parser.

 

– Fichiers LNK : les fichiers .lnk sont les fichiers de raccourci Windows. Les fichiers LNK sont liés ou pointent vers d’autres fichiers ou exécutables pour faciliter l’accès. Vous pouvez trouver les informations suivantes dans ces fichiers :

  • Le chemin d’accès d’origine du fichier cible.
  • Horodatage des fichiers cibles et des fichiers .lnk.
  • Attributs de fichier tels que Système, Masqué, etc.
  • Détails sur le disque.
  • Exécution à distance ou locale.
  • Adresse MAC des machines.

Vous pouvez utiliser des outils tels que Windows LNK Parsing Library pour analyser le contenu de ces fichiers.

 

  • Principaux outils open source pour Windows Forensic Analysis

Dans cette section, il y a certains des outils open source disponibles pour effectuer un Forensic Analysis dans le système d’exploitation Windows.

 

Magnet RAM Capture : Cet outil est utilisé pour analyser la mémoire physique du système. 

Wireshark : Il s’agit d’un outil d’analyse de réseau et d’un outil de capture qui est utilisé pour voir quel trafic passe sur votre réseau. 

RAM Capture : Comme son nom l’indique, il s’agit d’un outil gratuit utilisé pour extraire tout le contenu de la mémoire volatile, c’est-à-dire la RAM. 

NMAP : Il s’agit de l’outil le plus populaire utilisé pour trouver des ports ouverts sur la machine cible. En utilisant cet outil, vous pouvez trouver la vulnérabilité de n’importe quelle cible à pirater. 

Network Miner : Cet outil est utilisé comme un renifleur de réseau passif pour capturer ou détecter les ports, les sessions, les noms d’hôte, etc. des systèmes d’exploitation. 

Autopsy : Il s’agit de l’outil basé sur l’interface graphique, qui est utilisé pour analyser les disques durs et les smartphones. 

HashMyFiles : cet outil est utilisé pour calculer les hachages SHA1 et MD5. Il fonctionne sur tous les derniers sites Web. 

Crowd Response : Cet outil est utilisé pour rassembler les informations système pour la réponse aux incidents. 

HashMyFiles : cet outil est utilisé pour calculer les hachages SHA1 et MD5. Il fonctionne sur tous les derniers sites Web. 

FAW (Forensic Acquisition of Websites) : Cet outil est utilisé pour acquérir l’image des pages Web, HTML, le code source de la page Web. Cet outil peut être intégré à Wireshark. 

Il existe une telle variété d’outils médico-légaux disponibles sur le marché. Certains sont gratuits et open-source et certains outils facturent des frais annuels ou mensuels. Il vous suffit d’identifier vos besoins et de choisir un outil qui répond le mieux à vos besoins.

 

  • Bonus 

 

Voici une liste non exhaustive des fichiers sensibles : 

 

  • registre HKLM: SYSTEM, SOFTWARE, DEFAULT, SAM, SECURITY (Dans C:\windows\System32\config\)
  • Registre utilisateurs  (C:\Users\$user\NTUSER.dat)
  • Logs windows (C:\Windows\system32\winevt)
  • Profile navigateur: firefox, chrome, … (C:\Users\$user\AppData\Roaming\Mozilla\Profiles)
  • Historique IExplorer

 

 

  • Conclusion

That’s it friends, that’s the end of this article. it is very important to understand the minimum of Windows forensic analysis!! If you have any questions I am at your disposal. Do not hesitate to contact me, see you soon Peace!!

Forensicshacking

No responses yet

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

5 × 5 =

Follow by Email
Facebook
YouTube