Blog

Notes de praticien sur la forensique du registre Windows, le parsing de ruches et la DFIR.

• Récupérer des clés de registre supprimées et survivre au rejeu des journaux

  Récupération de cellules non allouées, rejeu de journaux de transactions, diffs VSS, et le flux qui attrape le schéma anti-forensique d'édition puis annulation utilisé par les attaquants.

• Le format de fichier ruche regf, en pratique

  À quoi ressemble réellement une ruche regf sur disque, pourquoi l'analyser correctement est plus difficile qu'on ne le suppose, et les outils qui gèrent les cas limites.

• Les clés du Registre Windows qui rentabilisent le temps en DFIR

  Une liste courte d'emplacements du registre qui méritent leur temps en réponse à incident : ce qu'ils disent réellement, où on se trompe, et quelle ruche prendre en premier.

• Persistance via clés Run et l'astuce du débogueur IFEO

  Chaque variante Run/RunOnce à connaître, l'astuce du débogueur IFEO, les détournements de services, et un flux de détection qui attrape d'abord les schémas ennuyeux.

• Forensique ShellBags : l'artefact brouillon qui clôt les dossiers

  Ce que ShellBags enregistre réellement, le problème d'écriture paresseuse qui piège les analystes, et quels outils analysent la structure ou perdent des enregistrements.

• UserAssist et l'historique de lancement de programmes en ROT13

  Ce que UserAssist enregistre, les GUID qui comptent, l'encodage ROT13, et les cas limites qui piègent les analystes qui le traitent comme un journal d'exécution complet.

• NTUSER.DAT vs SOFTWARE vs SYSTEM : quelle ruche répond à quelle question

  Une carte de travail de quelle ruche du Registre Windows tient quel artefact, quand chacune compte, et les confusions qui coûtent du temps aux enquêteurs lors de l'appel.

• Comment ce Registry Parser analyse réellement vos ruches (et pourquoi rien n'est envoyé)

  L'approche technique derrière un analyseur de ruches du Registre Windows côté client : hivex compilé en WebAssembly, un repli pur JS, et ce que « jamais envoyé » signifie réellement pour la chaîne de possession.

• Parité RegRipper : quels sont les 91 plugins disponibles et ce qui manque

  Vue de praticien sur les plugins RegRipper que cet analyseur implémente (~91 sur NTUSER, SOFTWARE, SYSTEM, SAM, SECURITY, USRCLASS, Amcache) et la longue traîne encore prévue.