Forensics Corner

Le registre et l’observateur

*Ce texte fait suite à celui traitant du registre Windows. Remerciements à Infoleptique qui m’a mis sur la voie d’un élément intéressant*

On a précédemment expliqué ce qu’était un registre et ce que l’on pouvait y trouver. Si le terme de registre est spécifique à l’environnement Windows, ses « frères » existent pour MAC OS ainsi que sous Linux.

L’idée est d’avoir une sorte de journal qui va recenser toutes les actions qui ont été faites avec une machine sous Windows mais également de reconstruire la machine en cas de pépin. C’est une sorte – non pas de cœur – mais de cerveau si on devait donner dans l’analogie et ceci explique pourquoi on recommande aux personnes de ne jamais manipuler le registre car c’est le crash définitif assuré.

Dans le cadre d’une analyse forensics, les choses sont plus délicates. On ne doit pas procéder à une analyse en live mais post-mortem puisque chaque changement, chaque action est enregistrée, y compris une image de disque dur qui serait montée afin d’être analysée. Bien entendu l’effacement de l’entrée de registre qui correspond au montage du disque dur sera également archivé. C’est le serpent qui se mord la queue.

Qu’on se rassure – ou pas – savoir où lire ce type d’entrée dans le registre peut s’avérer très vite laborieux et pour cause, malgré l’existence de certains logiciels dont des libres et open-source, la plupart fonctionnent en ligne de commande et ironie certaine, sont dédiés à l’analyse de registre post-mortem. Il faut donc chercher à la main les informations nécessaires, ce qui n’est pas toujours évident mais qui paradoxalement, ce qu’il y a de plus rapide et de plus simple.

Mais il existe un autre outil qui permet de procéder à certaines analyses intéressantes, à savoir, l’observateur d’évènement. On clique sur l’icône Windows ou sur démarrer selon les versions et on écrit directement « eventvwr ». L’observateur d’évènement va alors s’afficher.

On obtient une arborescence beaucoup plus simple et claire que le registre mais forcément moins complète. Tout d’abord – sauf erreur de ma part – les terminaux mobiles qui auraient pu y être connectés ne sont pas listés, malgré la présence de plusieurs sous-dossiers sembleraient indiquer qu’une collecte d’informations de ce type soit possible. Mais il va s’intéresser et archiver les évènements importants du système : les connexions utilisateurs, les applications qui ont planté, les sauvegardes effectuées, etc.

A titre d’exemple, en allant dans Journal des applications et services > Microsoft > Windows > Backup > Opérationnel, on obtient la liste de toutes les sauvegardes du C:\ qui ont été faites depuis le premier démarrage de la machine.  Dans Journal des applications et services > Microsoft Office Alerts, on peut voir les petites alertes relatives au pack Office, par exemple, les documents non enregistrés, les documents dont le format rend l’ouverture de ces derniers difficiles, etc.

Observateur d'événements

Dans Journal des applications et services > Microsoft > Windows > Terminal Services-LocalSession Manager> Opérationnel, on voit lister toutes les sessions de démarrage et de fermeture d’une session locale, ce qui peut être intéressant. 

Session de démarrage

On trouve également toutes les sessions de machine virtuelle qui ont été démarrées, des défragmentations ainsi que des applications qui ont procédé à certaines opérations sans que l’on s’en rende compte, au hasard, le service Skype qui s’est démarré tout seul et a fait ses mises à jour tout seul, sans qu’aucune information ne soit visible à l’écran à ce moment-là. Pour obtenir ces informations, on se rend dans Journaux Windows > Application.

Historique

Commencer  par regarder dans l’observateur d’évènements avant d’aller taper dans le registre – dans le cadre d’une analyse forensics – peut faciliter le travail. Tout d’abord, à la différence du registre, les évènements sont clairement horodatés et expliqués. Ensuite, selon la nature des informations recherchées, cela peut permettre de procéder à un premier tri dans les éléments présents ou absents.  Enfin, on peut aussi s’amuser avec les filtres afin de commencer à récupérer certaines informations qui étaient, par défaut, laissées de côté.