Ah vous aussi vous croyiez que les clés effacées de la base de registres étaient réellement effacées ? - Windows Incident Response

...eh bien non.

Moi aussi je pensais qu'effacer voulais dire effacer. Mais comme souvent "effacé" en informatique veut dire devenue invisible et marqué comme effacé . Et celui qui sait effectuer la procédure inverse sait sortir de la tombe des informations oubliées

On peut donc souvent restaurer une clé de la registry effacée.

Pour comprendre ça, il faut lire Windows Incident Response: Deleted Keys in the Registry.

Windows Incident Response est le blog d' Harlan Carvey qui a écrit Windows Forensic Analysis DVD Toolkit

Harlan Carvey a dirigé JolantaThomassen dans l'écriture d'une thèse de master l'analyse de l'espace perdu dans la base de registre présentée il y a quelques mois à l'Université de Liverpool. La thèse est [disponible ici!] ainsi que d'[autres données qui sont là!]. Harlan a par ailleurs incorporé le code du offline registry parser dans les outils Open Source de son livre et donc [le code en Perl est là!].

Je sens que les spécialistes de l'investigation sous Windows et les Big brothers en puissance vont s'en donner à cœur joie.