[Win] Shellbags forensics. Horodatage derniers accès ?
Publié : lun. 30 déc. 2019 19:22
Bonjour.
En parallèle de l'utilisation de chiffrement de données sous windows je lisais un article sur comment windows pouvait arriver à fournir des éléments sur ce qui a été accédé (dont un espace chiffré) https://www.veracrypt.fr/en/Data%20Leaks.html
Je lisais donc cet article : https://www.sans.org/reading-room/white ... epth-34545
et j'ai essayé de transposer à ce que je peux lire sur une machine windows.
Si, en effet, dans la branche de registre d'un utilisateur (moi) j'arrive à lire en "clair" dans les shellbags ce qui a été accédé
ex :
J'arrive à comprendre le début de l'article qui décrit dans quel ordre sont accédés ces shellbags, en revanche je n'arrive absolument pas à comprendre/trouver l'information d'horodatage (dernier accès).
Est-ce-que c'est clair pour quelqu'un ?
En parallèle de l'utilisation de chiffrement de données sous windows je lisais un article sur comment windows pouvait arriver à fournir des éléments sur ce qui a été accédé (dont un espace chiffré) https://www.veracrypt.fr/en/Data%20Leaks.html
Je lisais donc cet article : https://www.sans.org/reading-room/white ... epth-34545
et j'ai essayé de transposer à ce que je peux lire sur une machine windows.
Si, en effet, dans la branche de registre d'un utilisateur (moi) j'arrive à lire en "clair" dans les shellbags ce qui a été accédé
ex :
Est-ce-que c'est clair pour quelqu'un ?