Apprenez à configurer un poste de travail judiciaire pour examiner correctement le registre de Windows. Ce module examine l'emplacement des fichiers du Registre dans le système d'exploitation Windows et les nombreux outils disponibles gratuitement pour visualiser la structure des fichiers et les artefacts contenus dans le Registre Windows. Il comprend des instructions sur l'installation, l'utilisation correcte et la validation de votre logiciel d'investigation, montrant comment tirer le meilleur parti de vos outils automatisés tout en conservant une compréhension de ce que l'outil fait en coulisses.

Ce module présente une analyse approfondie des artefacts contenus dans le fichier de stockage NTUser.Dat. Ce module montre aux examinateurs comment localiser les programmes et les applications, les volumes montés et les périphériques connectés spécifiques à un utilisateur, les termes de recherche de l'utilisateur et les URL saisis. Les examinateurs seront également en mesure de localiser et d'identifier les fichiers ouverts et sauvegardés, les URL saisis, les programmes spécifiques à l'utilisateur définis pour s'exécuter au démarrage, ainsi que l'installation et l'exécution d'applications. Les examinateurs seront en mesure de localiser, d'examiner et d'interpréter les listes MRU (Most Recently Used), UserAssist, les paramètres système de l'utilisateur et les fichiers récemment utilisés.

Ce module explique les artefacts forensiques trouvés dans le fichier SAM (Security Account Manager), qui stocke et organise les informations sur chaque utilisateur d'un système. Ce module montre comment identifier chaque compte utilisateur sur une machine locale à l'aide de l'identifiant relatif. Les examinateurs peuvent également apprendre à interpréter les informations relatives au nom d'utilisateur, y compris les dates et heures de connexion des utilisateurs et le nombre de connexions. Le module montre comment identifier la machine sur laquelle le compte utilisateur a été créé, en interprétant les SID (identifiants de machine/domaine) d'un utilisateur et en récupérant les hachages des mots de passe de l'utilisateur.

Ce module montre aux examinateurs comment localiser les informations de valeur médico-légale relatives à l'exécution et à l'installation d'applications contenues dans le fichier de stockage de logiciels. Le module fournit une vue d'ensemble des artefacts forensiques trouvés dans le fichier de la ruche logicielle, tels que les programmes et applications installés, le type de système d'exploitation, la date et l'heure d'installation, les informations sur le réseau sans fil, l'association de fichiers, les informations de connexion au domaine, le dernier utilisateur connecté, les programmes définis pour s'exécuter au démarrage et le suivi des périphériques USB qui ont été attachés au système.

Ce module démontrera les preuves de la valeur médico-légale contenues dans le fichier de stockage du système. Ce module explore le fichier de stockage du système en montrant comment déterminer le jeu de contrôle actuel, le nom de l'ordinateur, la date et l'heure du dernier arrêt, les paramètres et l'emplacement du crash dump, les services configurés pour être exécutés au démarrage, les paramètres des fichiers de pages, les paramètres de prélecture, les paramètres de l'heure du dernier accès au fichier, AppCompat Cache, BAM (moniteur d'activités en arrière-plan) et les connexions et déconnexions de périphériques USB avec les dates et les heures.

Ce module identifie et explique les artefacts forensiques trouvés dans le fichier ruche UsrClass.dat. Ce module se penche sur la ruche UsrClass.dat. L'examinateur apprendra à expliquer les ShellBags de Windows, qui suivent les fichiers zip spécifiques à l'utilisateur, l'accès aux dossiers et les paramètres, y compris les dates et les heures, même sur les dossiers supprimés et les supports amovibles. L'examinateur apprendra également à interpréter la sous-clé MuiCache, qui inclut les applications installées. L'application Microsoft Photo, qui affiche les fichiers images récemment consultés, sera également étudiée.

Ce module examine le fichier de stockage AmCache, qui stocke des informations relatives à l'exécution des applications. Un examen forensique du fichier de stockage AmCache montre les éléments suivants : installation de l'application, date et heure de la première exécution de l'application, chemin d'accès au fichier exécutable, source de l'application, valeur de hachage SHA-1 du fichier exécutable, périphériques connectés "plug-and-play", GUID des volumes montés et informations sur le matériel du système.