Forensic Corner : Windows Shellbags

Magazine
Marque
MISC
Numéro
61
Mois de parution
mai 2012
Spécialité(s)


Résumé

De nombreux axes de recherche peuvent être suivis lors d’une investigation numérique sur un poste de travail Microsoft Windows. Parmi ces derniers, il en est un qui est méconnu, peu documenté et finalement peu examiné, sauf dans certains cadres d’investigations : les shellbags Windows. Ces derniers permettent pourtant de faciliter le travail de l’enquêteur inforensique.


1. Présentation

Les shellbags existent dans les systèmes d’exploitation de Microsoft depuis Windows XP. Il s’agit de clés et valeurs de la base de registre Windows qui permettent au système de conserver les préférences des fenêtres des utilisateurs par répertoire. La taille, l’emplacement, et d’autres paramètres des fenêtres de l’Explorateur Windows sont stockés dans les clés shellbags (que nous appellerons par commodité shellbags).

À titre d’exemple, s’il vous est déjà arrivé d’ouvrir l’explorateur Windows sur un certain répertoire, d’y configurer un type d’affichage particulier (« détail » par exemple), y revenir plus tard et constater qu’il s’affiche toujours de cette façon, vous avez sollicité les shellbags.

2. Intérêt des shellbags

La présentation ci-dessus ne décrit pas vraiment un concept enthousiasmant, à première vue. Et pourtant… Voici quelques constatations effectuées sur les shellbags :

- Pour…

Cet article est réservé aux abonnés. Il vous reste 92% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne


Article rédigé par

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous