De nombreux axes de recherche peuvent être suivis lors d’une investigation numérique sur un poste de travail Microsoft Windows. Parmi ces derniers, il en est un qui est méconnu, peu documenté et finalement peu examiné, sauf dans certains cadres d’investigations : les shellbags Windows. Ces derniers permettent pourtant de faciliter le travail de l’enquêteur inforensique.
1. Présentation
Les shellbags existent dans les systèmes d’exploitation de Microsoft depuis Windows XP. Il s’agit de clés et valeurs de la base de registre Windows qui permettent au système de conserver les préférences des fenêtres des utilisateurs par répertoire. La taille, l’emplacement, et d’autres paramètres des fenêtres de l’Explorateur Windows sont stockés dans les clés shellbags (que nous appellerons par commodité shellbags).
À titre d’exemple, s’il vous est déjà arrivé d’ouvrir l’explorateur Windows sur un certain répertoire, d’y configurer un type d’affichage particulier (« détail » par exemple), y revenir plus tard et constater qu’il s’affiche toujours de cette façon, vous avez sollicité les shellbags.
2. Intérêt des shellbags
La présentation ci-dessus ne décrit pas vraiment un concept enthousiasmant, à première vue. Et pourtant… Voici quelques constatations effectuées sur les shellbags :
- Pour…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première