[Win] Shellbags forensics. Horodatage derniers accès ?

Avatar de l’utilisateur
Ryu_wm
Messages : 5440
Inscription : ven. 12 janv. 2018 17:44
Localisation : Pont l'Abbé d'Arnoult (17)

[Win] Shellbags forensics. Horodatage derniers accès ?

Message par Ryu_wm »

Bonjour.

En parallèle de l'utilisation de chiffrement de données sous windows je lisais un article sur comment windows pouvait arriver à fournir des éléments sur ce qui a été accédé (dont un espace chiffré) https://www.veracrypt.fr/en/Data%20Leaks.html
Je lisais donc cet article : https://www.sans.org/reading-room/white ... epth-34545

et j'ai essayé de transposer à ce que je peux lire sur une machine windows.

Si, en effet, dans la branche de registre d'un utilisateur (moi) j'arrive à lire en "clair" dans les shellbags ce qui a été accédé
ex :
Un accès réseau par IP
Image

Un fichier
Image

une archive
Image
J'arrive à comprendre le début de l'article qui décrit dans quel ordre sont accédés ces shellbags, en revanche je n'arrive absolument pas à comprendre/trouver l'information d'horodatage (dernier accès).

Est-ce-que c'est clair pour quelqu'un ?

:jap:
-------------------------
Image

Répondre