Arborescences des systémes

Windows

Depuis Vista, le dossier des données des utilisateurs, Documents and Settings, n'est présent que pour assurer la compatibilité avec XP et les autres versions Windows antérieures à Vista. Il n'est qu'un raccourci vide. Le véritable dossier est Users (Utilisateurs). Il en est de même avec Application Data (Données des "applications" ou" programmes") qui est remplacé par AppData.

Noms de fichiers

Noms de fichiers : casse, caractères accentués, espaces

Données volatiles ou "errantes"

C:\Users\[nom d'utilisateur]\AppData\Roaming

Le vocable anglais "roaming", assez proche de "rom, romanichel, romani", signifie donc "nomade, vagabondage, errance". Ces données sont dites "volatiles" car elles transitent du clavier , de la souris, des logiciels, du système d'exploitation vers le disque dur en lecture et écriture, par la RAM (Random-Access Memory) ou "mémoire vive" de la machine ; elles sont "effacées" par arrêt total de la machine mais présentent, évidemment un risque de sécurité important comparable au risque que représente la transition des données dans l'espace internet entre 2 ou plusieurs machines en réseaux. Une attaque "virale" sous Windows ne se manifestera donc pas nécessairement immédiatement car un certain nombre de ces données "volatiles" ne sont écrites dans la base de registre (HKEY_CURRENT_USER\Volatile Environment) que si la machine redémarre. Cette opération est réalisée par l'intermédiaire d'informations qui sont stockées dans une "extension" de la mémoire RAM, un fichier caché de Windows, pagefile.sys, qui est installé à la racine du disque C. Ce fichier n'est pas automatiquement effacé lors de l'extinction de la machine.La "volatilité" est donc toute relative et le répertoire Roaming associé aux informations contenues dans pagefile.sys peut donc faire office de "pépinière à virus". Il est possible de configurer manuellement pagefile.sys (qui, d'une certaine façon correspond à la partition swap de GNU/linux) en modifiant ou en créant si elle n'existe, la valeur REG_DWORD ClearPageFileAtShutdown de la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management. Ceci aura un double effet : l'un, avantageux, videra donc pagefile.sys, l'autre, éventuellement contraignant pour les gens qui calculent combien représente, en heure de travail, les quelques secondes supplémentaires qui seront alors nécessaires à Windows pour démarrer un parc composé de plusieurs dizaine de machines ; calcul bien compliqué puisqu'il doit être compensé par les économies en maintenance et interventions de nettoyage de malwares... le tout ne présentant, apparemment, aucun problème aux enquêteurs des diverses polices spécialisées dans la récupération de diverses preuves numériques.

L'évolution du forensic traditionnel Sébastien Bourdon-Richard, ing. jr., analyste en criminalité technologique. Que faire face à un rootkit résidant en mémoire seulement? Comment récupérer les preuves numériques volatiles sur un système compromis? Les procédures d'acquisition et d'analyse réalisées dans le cadre d'une investigation numérique sont souvent orientées « disque dur » et tiennent rarement compte des données volatiles d'un système opérationnel. Ces données contemporaines peuvent être indispensables pour certaines enquêtes, car elles permettent d'outrepasser les limitations rencontrées lors d'une investigation post mortem: contenu de la mémoire vive, présence de chiffrement (encryption), fichiers non sauvegardés, clavardage sans journal (log), connexions TCP actives,... Les concepts, procédures et outils utilisés pour la collecte et l'analyse des données volatiles seront présentés afin de préparer les cyberenquêteurs aux défis qu'ils auront à relever lors de leurs prochaines perquisitions numériques. Sources : Conférences du 5e Colloque sur la cybercriminalite, mai 2009 (lien externe)

Raccourcis vers Programmes

C:\Users\[nom d'utilisateur]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

Documents récents

C:\Users\[nom d'utilisateur]\AppData\Roaming\Microsoft\Windows\Recent

Envoyer vers

C:\Users\[nom d'utilisateur]\AppData\Roaming\Microsoft\Windows\SendTo

Menu Démarrer

C:\Users\[nom d'utilisateur]\AppData\Roaming\Microsoft\Windows\Start Menu

Dossier démarrage

C:\Users\[nom d'utilisateur]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Modèles

C:\Users\[nom d'utilisateur]\AppData\Roaming\Microsoft\Windows\Templates

Imprimantes

C:\Users\[nom d'utilisateur]\AppData\Roaming\Microsoft\Windows\Printer Shortcuts

Cookies

C:\Users\[nom d'utilisateur]\AppData\Roaming\Microsoft\Windows\Cookies

Données fixes de programmes

C:\Users\[nom d'utilisateur]\AppData\Local

Historique

C:\Users\[nom d'utilisateur]\AppData\Local\Microsoft\Windows\History

Fichiers temporaires

C:\Users\[nom d'utilisateur]\AppData\Local\Temp

Bureau

C:\Users\[nom d'utilisateur]\Desktop

Favoris

C:\Users\[nom d'utilisateur]\favoris\Favorites

Sauvegarder les favoris de Internet Explorer

Cache internet

C:\Users\[nom d'utilisateur]\Temporary Internet Files

My Music

C:\Users\[nom d'utilisateur]\Documents\Music

My Pictures

C:\Users\[nom d'utilisateur]\Documents\Pictures

My Documents

C:\Users\[nom d'utilisateur]\Documents

Données communes aux programmes

C:\ProgramData

Fichiers des programmes

C:\Program Files

Fichiers communs aux programmes

C:\Program Files\Common Files

Système

C:\Windows\system32

Installation des pilotes

C:\Windows\inf

GNU Linux

Arborescence Debian (lien externe)