Forensic Corner : Windows Shellbags

Magazine
Marque
MISC
Numéro
61
Mois de parution
mai 2012
Domaines


Résumé
De nombreux axes de recherche peuvent être suivis lors d’une investigation numérique sur un poste de travail Microsoft Windows. Parmi ces derniers, il en est un qui est méconnu, peu documenté et finalement peu examiné, sauf dans certains cadres d’investigations : les shellbags Windows. Ces derniers permettent pourtant de faciliter le travail de l’enquêteur inforensique.

1. Présentation

Les shellbags existent dans les systèmes d’exploitation de Microsoft depuis Windows XP. Il s’agit de clés et valeurs de la base de registre Windows qui permettent au système de conserver les préférences des fenêtres des utilisateurs par répertoire. La taille, l’emplacement, et d’autres paramètres des fenêtres de l’Explorateur Windows sont stockés dans les clés shellbags (que nous appellerons par commodité shellbags).

À titre d’exemple, s’il vous est déjà arrivé d’ouvrir l’explorateur Windows sur un certain répertoire, d’y configurer un type d’affichage particulier (« détail » par exemple), y revenir plus tard et constater qu’il s’affiche toujours de cette façon, vous avez sollicité les shellbags.

2. Intérêt des shellbags

La présentation ci-dessus ne décrit pas vraiment un concept enthousiasmant, à première vue. Et pourtant… Voici quelques constatations effectuées sur les shellbags :

- Pour qu’une entrée...

Cet article est réservé aux abonnés. Il vous reste 92% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Gérer une base de données avec Adminer

Magazine
Marque
Linux Pratique
Numéro
121
Mois de parution
septembre 2020
Domaines
Résumé

La gestion des bases de données relationnelles est une technologie essentielle pour les entreprises. Sa complexité nécessite de disposer de logiciels pratiques et fiables pour manipuler les données avec efficacité et en toute sécurité. Adminer entre dans la catégorie poids plume de ces outils, mais ne manque pas d'arguments pour séduire les administrateurs de bases de données et les développeurs.

Désamorcer des bombes logiques

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Aujourd’hui, les développeurs de code malveillant sont capables de contourner les mesures de sécurité et les techniques d’analyse les plus poussées grâce à de simples mécanismes appelés « bombes logiques ». Un exemple significatif est le Google Play qui accepte toujours des applications malveillantes pouvant déjouer ses barrières de sécurité. Cette introduction aux bombes logiques permet de sensibiliser sur les différentes solutions pouvant être mises en place pour détecter ces artifices.

Retour d’expérience : investigation numérique dans un environnement Windows

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

L’investigation numérique d’un système d’information (SI) consiste à comprendre d’un point de vue temporel et factuel les évènements ayant conduit à l’incident. Bien que les SI présentent une architecture bien souvent commune, les interventions sont toutes différentes et mettent en lumière l’ingéniosité des attaquants afin d’œuvrer de la manière la plus discrète possible. Nous allons présenter au cours de cet article, notre retour d’expérience relatif à une intervention auprès d’un client début 2020.

Garder ses secrets avec Tomb

Magazine
Marque
Linux Pratique
HS n°
Numéro
48
Mois de parution
septembre 2020
Domaines
Résumé

Pour conserver des documents privés sur un disque dur ou un support amovible, il est nécessaire d'avoir recours au chiffrement. L'outil Tomb permet de manipuler simplement des répertoires chiffrés par le standard LUKS, pensé dans un d'esprit de confort et de mobilité.

Aller plus loin avec coreboot

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
110
Mois de parution
septembre 2020
Domaines
Résumé

Rappelez-vous dans le numéro 220 de GNU/Linux Magazine, j’avais écrit un petit article sur coreboot, le BIOS libre. Je vous propose cette fois d’aller plus loin, en explorant quelques façons de sécuriser un peu le processus de boot, et plus encore.