Page 1 sur 1

[Win] Shellbags forensics. Horodatage derniers accès ?

Publié : lun. 30 déc. 2019 19:22
par Ryu_wm
Bonjour.

En parallèle de l'utilisation de chiffrement de données sous windows je lisais un article sur comment windows pouvait arriver à fournir des éléments sur ce qui a été accédé (dont un espace chiffré) https://www.veracrypt.fr/en/Data%20Leaks.html
Je lisais donc cet article : https://www.sans.org/reading-room/white ... epth-34545

et j'ai essayé de transposer à ce que je peux lire sur une machine windows.

Si, en effet, dans la branche de registre d'un utilisateur (moi) j'arrive à lire en "clair" dans les shellbags ce qui a été accédé
ex :
Un accès réseau par IP
Image

Un fichier
Image

une archive
Image
J'arrive à comprendre le début de l'article qui décrit dans quel ordre sont accédés ces shellbags, en revanche je n'arrive absolument pas à comprendre/trouver l'information d'horodatage (dernier accès).

Est-ce-que c'est clair pour quelqu'un ?

:jap: