Artefacts Forensiques Windows — Cheatsheet DFIR

Lors d'une investigation active, chaque seconde compte. Savoir exactement quels artefacts collecter et où les trouver fait la différence entre suivre la piste de l'attaquant et la perdre. Ce cheatsheet couvre les artefacts forensiques Windows essentiels organisés par catégorie, avec les emplacements, les outils et la valeur forensique de chacun.

Pour une couverture approfondie des artefacts individuels, consultez la bibliothèque d'artefacts DFIR Assist, qui propose des guides d'analyse détaillés avec des exemples de sorties et les techniques d'attaque courantes pour chaque type d'artefact.

Event Logs

Les Windows Event Logs constituent le fondement de la plupart des investigations. Ils enregistrent les événements d'authentification, la création de processus, les installations de services et l'activité réseau. Les trois sources de journaux les plus critiques pour le DFIR sont Security, Sysmon et PowerShell.

Security Event Log

Emplacement : %SystemRoot%\System32\winevt\Logs\Security.evtx

Le journal Security enregistre les événements d'authentification et d'autorisation. Principaux Event IDs à analyser lors d'une investigation :

• 4624 — Ouverture de session réussie. Vérifiez le champ Logon Type : Type 3 (réseau), Type 10 (RDP) et Type 2 (interactif) racontent chacun une histoire différente
• 4625 — Échec d'ouverture de session. Un volume élevé indique des attaques par brute-force ou password spraying
• 4672 — Privilèges spéciaux attribués. Suit l'octroi de jetons administratifs
• 4720 / 4732 — Création de compte et modifications d'appartenance à un groupe. Les attaquants créent fréquemment des comptes de backdoor
• 4688 — Création de processus (quand la stratégie d'audit est activée). Affiche la ligne de commande complète de chaque processus démarré

Sysmon Event Log

Emplacement : %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx

Sysmon offre une visibilité approfondie sur les activités des processus et du réseau. S'il est déployé, c'est souvent la source de journaux la plus précieuse du système :

• Event 1 — Création de processus avec la ligne de commande complète, le processus parent et les hachages de fichiers
• Event 3 — Connexions réseau avec l'IP source/destination et le port
• Event 7 — Image chargée (DLL). Critique pour détecter le DLL sideloading et l'injection
• Event 8 — CreateRemoteThread. Fort indicateur d'injection de processus
• Event 11 — Création de fichier. Suit l'écriture de fichiers sur le disque
• Event 13 — Valeur de registre définie. Détecte les mécanismes de persistance en temps réel

Journaux PowerShell

Emplacement : %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-PowerShell%4Operational.evtx

PowerShell est le binaire living-off-the-land le plus abusé dans les attaques modernes. Le Script Block Logging (Event 4104) est l'artefact PowerShell le plus précieux car il enregistre le contenu complet de chaque bloc de script exécuté — même lorsque l'attaquant utilise l'encodage ou l'obfuscation.

• Event 4104 — Script Block Logging. Contenu complet du script désobfusqué
• Event 4103 — Module Logging. Enregistre les détails d'exécution des pipelines
• Event 400/403 — Démarrage/arrêt du moteur (legacy). Indique l'activité de session PowerShell

Artefacts de Registre

Le Windows Registry est une mine d'or pour les investigateurs forensiques. Il stocke l'historique d'exécution des programmes, l'activité des utilisateurs, les connexions réseau et les mécanismes de persistance. Emplacements clés du registre à examiner :

UserAssist

Emplacement : NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

Enregistre l'exécution de programmes via l'interface graphique avec des horodatages et des compteurs d'exécution. Les valeurs sont encodées en ROT13 mais se décodent trivialement. UserAssist révèle quels programmes les utilisateurs ont réellement lancés via le shell Explorer, ce qui le rend précieux pour établir une chronologie de l'activité utilisateur.

ShimCache (AppCompatCache)

Emplacement : SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

Suit les fichiers exécutables qui ont été lancés ou existaient sur le système. ShimCache stocke le chemin du fichier, la taille et l'horodatage de dernière modification. C'est l'un des indicateurs les plus fiables qu'un exécutable était présent sur le système, même si le fichier a été supprimé depuis.

Amcache

Emplacement : C:\Windows\appcompat\Programs\Amcache.hve

Stocke des informations détaillées sur les programmes exécutés, notamment le chemin complet, le hachage SHA1, l'éditeur et l'horodatage de première exécution. Amcache est particulièrement précieux car il enregistre les hachages de fichiers, vous permettant de vérifier si un binaire suspect correspond à des échantillons de malwares connus.

Clés Run / RunOnce

Emplacements :

• NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run
• SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Le mécanisme de persistance classique. Les entrées dans ces clés s'exécutent automatiquement à l'ouverture de session de l'utilisateur (NTUSER) ou au démarrage du système (SOFTWARE). Les attaquants les utilisent régulièrement pour la persistance. Croisez toujours les entrées avec des lignes de base connues valides.

Artefacts du Système de Fichiers

Le système de fichiers NTFS stocke des métadonnées qui persistent même après la suppression des fichiers. Ces artefacts sont essentiels pour l'analyse chronologique et pour prouver que des fichiers existaient sur le système.

Prefetch

Emplacement : C:\Windows\Prefetch\*.pf

Windows crée des fichiers Prefetch pour les exécutables afin d'accélérer les lancements suivants. Chaque fichier .pf enregistre le nom de l'exécutable, le nombre d'exécutions, les huit derniers horodatages d'exécution et les fichiers/répertoires accédés durant les 10 premières secondes d'exécution. Prefetch est désactivé par défaut sur les SSD dans certaines configurations Windows, mais reste l'un des artefacts d'exécution les plus précieux lorsqu'il est présent.

$MFT (Master File Table)

Emplacement : \\.\C:\$MFT

La MFT est l'index principal du système de fichiers NTFS. Chaque fichier et répertoire sur le volume possède une entrée MFT avec des horodatages de création, modification, accès et modification d'entrée (MACE). La MFT conserve les entrées des fichiers supprimés jusqu'à ce que l'espace soit réutilisé, la rendant inestimable pour récupérer des preuves de fichiers que les attaquants ont tenté de supprimer.

USN Journal ($UsnJrnl)

Emplacement : \\.\C:\$Extend\$UsnJrnl:$J

L'USN (Update Sequence Number) Journal enregistre chaque modification apportée aux fichiers et répertoires du volume. Il capture la création, la suppression, le renommage, l'écrasement de données et les modifications d'attributs des fichiers. Le journal est circulaire et peut devenir assez volumineux, fournissant une chronologie détaillée de l'activité du système de fichiers sur des jours ou des semaines.

$I30 (Index de Répertoire)

Les entrées d'index de répertoire NTFS peuvent contenir des références à des fichiers supprimés qui n'apparaissent plus dans les listes de répertoires. L'analyse de l'espace slack $I30 peut révéler les noms de fichiers et les horodatages de fichiers qui étaient présents dans un répertoire avant d'être supprimés — une technique fréquemment utilisée pour découvrir les outils déposés par les attaquants.

Artefacts Supplémentaires à Collecter

Au-delà des catégories principales ci-dessus, plusieurs autres artefacts méritent attention lors d'une investigation approfondie :

• Scheduled Tasks (C:\Windows\System32\Tasks\) — Un mécanisme de persistance courant. Recherchez les fichiers de tâches XML avec des chemins d'exécution suspects
• WMI Persistence (OBJECTS.DATA) — Les abonnements aux événements WMI peuvent exécuter du code sur des déclencheurs comme le démarrage du système. Analysez avec des outils tels que PyWMIPersistenceFinder
• Historique du navigateur — Bases de données SQLite dans les répertoires des profils utilisateurs. Révèle les URL de téléchargement, les requêtes de recherche et la chronologie de l'activité web
• Windows Timeline (ActivitiesCache.db) — Enregistre l'utilisation des applications, les ouvertures de fichiers et la navigation web sur plusieurs appareils
• SRUM (C:\Windows\System32\sru\SRUDB.dat) — Le System Resource Usage Monitor suit l'utilisation réseau par application, le temps CPU et la consommation d'énergie sur plus de 30 jours

Pour des guides d'analyse détaillés sur chaque artefact, y compris des exemples de sorties d'outils et des techniques de détection, explorez la base de connaissances DFIR Assist.