Sem 6 Traces Windows

Question 1

Quel st une partition system?

Answer 1

Une partition qui contient les fichiers spécifiques au matériel nécessaires pour charger Windows

Question 2

Quel chemin pour partition system?

Answer 2

Program files (x86)
ProgramData
Default

Question 3

C’est quoi une base de registre?

Answer 3

Base de données hiérarchique centralisée utilisée par le système d’exploitation pour stocker les informations nécessaires à la configuration du système pour un ou plusieurs utilisateurs, applications et hardware

Question 4

Quels infos sont disponible dans le registre?

Answer 4

• info sur l’OS
• configuration des comptes d’utilisateurs
• logiciels installé et ou utilisé
• configuration de l’ordi
• hardware utilisé

Question 5

Quels sont les deux éléments de base d’un registre?

Answer 5

Les clefs et les valeurs

Question 6

Que sont des clefs de registre?

Answer 6

Des conteneurs comme des dossiers

Question 7

Les valeurs de registre sont des conteneurs comme les fichiers?

Answer 7

Nan

Question 8

Cbm y’a de clé prédéfinie ?

Answer 8

7 cles racine prédéfinie mais on en voit 5 généralement

Question 9

Comment sont appelés aussi les clés racines ?

Answer 9

Ruches

Question 10

Quels sont les abréviations des ruches du registre?

Answer 10

HKCR
HKCU
HKLM
HKU
HKCC

Question 11

Citer le root key et la description de HKCR

Answer 11

HKEY_CLASSES_ROOT

types de fichiers et applications associés

Question 12

Citer le root key et la description de HKCU

Answer 12

HKEY_CURRENT_USER
info sur l’utilisateur connecté au système

Question 13

Citer le root key et la description de HKLM?

Answer 13

HKEY_LOCAL_MACHINE
configuration du système

Question 14

Citer le root key et la description de HKU?

Answer 14

HKEY_USERS

Contient les paramètres de chaque compte utilisateur configuré

Question 15

Citer le root key et la description de HKCC

Answer 15

HKEY_CURRENT_CONFIG

configuration matérielle (hardware) actuelle

Question 16

Qu’utilise Windows pour stocker les infos du registres?

Answer 16

Des fichiers

Question 17

À chaque utilisateurs correspond un ficher de configuration propre ?

Answer 17

Vrai

Question 18

Dans quelle ruche Windows enregistre les infos si on modifie l’apparence de Windows ou installe un programme ou si on change d’imprimante par défaut?

Answer 18

HKEY_CURRENT_USER

Question 19

Lors de déconnexions ou extinction de l’appareil, dans quel riche Windows enregistre ces données?

Answer 19

HKEY_CURRENT_USER dans le fichier NTUSER.DAT

Question 20

Où les ruches SAM SOFTWARES et SYSTEM sont situées?

Answer 20

Dans Windows\System32\Config

Question 21

Quel ruche trouve t’on dans Users\%Username%

Answer 21

NTUser.dat

Question 22

Quel ruche situées dans Users\%Username%\Appdata\Local\Microsoft\Windows?

Answer 22

UsrClass.dat

Question 23

Que contient la ruche NTuser.dat?

Answer 23

Paramètre et préférence de l’utilisateur

Question 24

Que contient la ruche SAM ?

Answer 24

Les comptes utilisateur et les mdp

Question 25

Quel info trouve t’on sur le système d’exploitation? Quel chemin fait il faire?

Answer 25

- version - service pack ou build number - utilisateurs enregistre - organisation - date d’installation SOFTWARE\Microsoft\Windows NT\CurrentVersion

Question 26

Quel infos peut on trouver sur les utilisateurs? Et quel chemin?

Answer 26

- nom du profil - groupes - date de création - date de la dernière connexion - date du dernier échec de connexion - date du dernier changement de mdp SAM\Domains\Account\Users

Question 27

Quel chemin pour trouver l’emplacement et nom de répertoire personnel de l’utilisateur?

Answer 27

SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Question 28

Quel emplacement des répertoires de l’utilisateur?

Answer 28

NTUser.dat\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

Question 29

Comment connaître la dernière connexion?

Answer 29

SOFTWARE\LogonUI

Question 30

Comment connaître l’apparence du bureau?

Answer 30

TUser.dat\Control Panel\Desktop

Question 31

Comment lister les fichiers les plus récemment ouvert ?

Answer 31

NTUser.dat\Software\Microsoft\Windows\CurrentVersion\Explorer…… Par la suite vérifier page 38

Question 32

Comment analysé les programmes installés?

Answer 32

- SOFTWARE - SOFTWARR\WOW6432Node - SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall - NTUser.dat\Software

Question 33

Comment analysé les programmes exécutés au démarrage ?

Answer 33

- SOFTWARE\Microsoft\Windows\CurrentVersion\Run - NTUser.dat\Microsoft\Windows\CurrentVersion\Run

Question 34

Chemin logiciel exécutés page 40

Question 35

Quels paramètre de l’ordi on peut trouver? Chemin page 41 et 42

Answer 35

- nom du fuseau horaire - nom de l’ordinateur - date et heure du dernier arrêt - paramètres et configurations pour chaque interface réseau de l’ordi (IP) - imprimante - support USB - volume logique monte

Question 36

Quel outils pour l’analyse de registre?

Answer 36

- registry Explorer - RegRipper - WRR - FTK Registry Viewer