Arborescences des systémes
Windows
Depuis Vista, le dossier des données des utilisateurs, Documents and Settings, n'est présent que pour assurer la
compatibilité avec XP et les autres versions Windows antérieures à Vista. Il n'est qu'un raccourci vide. Le véritable dossier est Users (Utilisateurs).
Il en est de même avec Application Data (Données des "applications" ou" programmes") qui est remplacé par AppData.
Noms de fichiers
Données volatiles ou "errantes"
C:\Users\[nom d'utilisateur]\AppData\Roaming
Le vocable anglais "roaming", assez proche de "rom, romanichel, romani", signifie donc "nomade, vagabondage, errance". Ces données sont dites "volatiles" car elles transitent du clavier , de la souris, des logiciels, du système d'exploitation vers le disque dur en lecture et écriture, par la RAM (Random-Access Memory) ou "mémoire vive" de la machine ; elles sont "effacées" par arrêt total de la machine mais présentent, évidemment un risque de sécurité important comparable au risque que représente la transition des données dans l'espace internet entre 2 ou plusieurs machines en réseaux.
Une attaque "virale" sous Windows ne se manifestera donc pas nécessairement immédiatement car un certain nombre de ces données "volatiles" ne sont écrites dans la
base de registre (HKEY_CURRENT_USER\Volatile Environment) que si la machine redémarre. Cette opération est réalisée par l'intermédiaire d'informations qui sont stockées dans une "extension" de la mémoire RAM, un fichier caché de Windows, pagefile.sys, qui est installé à la racine du disque C. Ce fichier n'est pas automatiquement effacé lors de l'extinction de la machine.La "volatilité" est donc toute relative et le répertoire Roaming associé aux informations contenues dans pagefile.sys peut donc faire office de "pépinière à virus".
Il est possible de configurer manuellement pagefile.sys (qui, d'une certaine façon correspond à la partition swap de GNU/linux) en modifiant ou en créant si elle n'existe, la valeur REG_DWORD ClearPageFileAtShutdown de la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management.
Ceci aura un double effet : l'un, avantageux, videra donc pagefile.sys, l'autre, éventuellement contraignant pour les gens qui calculent combien représente, en heure de travail, les quelques secondes supplémentaires qui seront alors nécessaires à Windows pour démarrer un parc composé de plusieurs dizaine de machines ; calcul bien compliqué puisqu'il doit être compensé par les économies en maintenance et interventions de nettoyage de malwares... le tout ne présentant, apparemment, aucun problème aux enquêteurs des diverses
polices spécialisées dans la récupération de diverses preuves numériques.
L'évolution du forensic traditionnel
Sébastien Bourdon-Richard, ing. jr., analyste en criminalité technologique.
Que faire face à un rootkit résidant en mémoire seulement? Comment récupérer les preuves numériques volatiles sur un système compromis? Les procédures d'acquisition et d'analyse réalisées dans le cadre d'une investigation numérique sont souvent orientées « disque dur » et tiennent rarement compte des données volatiles d'un système opérationnel. Ces données contemporaines peuvent être indispensables pour certaines enquêtes, car elles permettent d'outrepasser les limitations rencontrées lors d'une investigation post mortem: contenu de la mémoire vive, présence de chiffrement (encryption), fichiers non sauvegardés, clavardage sans journal (log), connexions TCP actives,... Les concepts, procédures et outils utilisés pour la collecte et l'analyse des données volatiles seront présentés afin de préparer les cyberenquêteurs aux défis qu'ils auront à relever lors de leurs prochaines perquisitions numériques.
Sources :
Conférences du 5e Colloque sur la cybercriminalite, mai 2009 (lien externe)
Raccourcis vers Programmes
C:\Users\[nom d'utilisateur]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
Documents récents
C:\Users\[nom d'utilisateur]\AppData\Roaming\Microsoft\Windows\Recent
Envoyer vers
C:\Users\[nom d'utilisateur]\AppData\Roaming\Microsoft\Windows\SendTo
Menu Démarrer
C:\Users\[nom d'utilisateur]\AppData\Roaming\Microsoft\Windows\Start Menu
Dossier démarrage
C:\Users\[nom d'utilisateur]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Modèles
C:\Users\[nom d'utilisateur]\AppData\Roaming\Microsoft\Windows\Templates
Imprimantes
C:\Users\[nom d'utilisateur]\AppData\Roaming\Microsoft\Windows\Printer Shortcuts
Cookies
C:\Users\[nom d'utilisateur]\AppData\Roaming\Microsoft\Windows\Cookies
Données fixes de programmes
C:\Users\[nom d'utilisateur]\AppData\Local
Historique
C:\Users\[nom d'utilisateur]\AppData\Local\Microsoft\Windows\History
Fichiers temporaires
C:\Users\[nom d'utilisateur]\AppData\Local\Temp
Bureau
C:\Users\[nom d'utilisateur]\Desktop
Favoris
C:\Users\[nom d'utilisateur]\favoris\Favorites
Cache internet
C:\Users\[nom d'utilisateur]\Temporary Internet Files
My Music
C:\Users\[nom d'utilisateur]\Documents\Music
My Pictures
C:\Users\[nom d'utilisateur]\Documents\Pictures
My Documents
C:\Users\[nom d'utilisateur]\Documents
Données communes aux programmes
Fichiers des programmes
Fichiers communs aux programmes
C:\Program Files\Common Files
Système
Installation des pilotes
GNU Linux
Mac Os X