TheCricLinks

Je me pose plein de questions, Internet est un moyen d'y répondre

Nom :

La devise de la France est Liberté - Égalité - Fraternité. Cette devise peut et doit nous aider à trouver le bon chemin.

dimanche 29 mars 2009

Ah vous aussi vous croyiez que les clés effacées de la base de registres étaient réellement effacées ? - Windows Incident Response

...eh bien non.

Moi aussi je pensais qu'effacer voulais dire effacer. Mais comme souvent "effacé" en informatique veut dire devenue invisible et marqué comme effacé . Et celui qui sait effectuer la procédure inverse sait sortir de la tombe des informations oubliées

On peut donc souvent restaurer une clé de la registry effacée.

Pour comprendre ça, il faut lire Windows Incident Response: Deleted Keys in the Registry.

Windows Incident Response est le blog d' Harlan Carvey qui a écrit Windows Forensic Analysis DVD Toolkit

Harlan Carvey a dirigé JolantaThomassen dans l'écriture d'une thèse de master l'analyse de l'espace perdu dans la base de registre présentée il y a quelques mois à l'Université de Liverpool. La thèse est [disponible ici!] ainsi que d'[autres données qui sont là!]. Harlan a par ailleurs incorporé le code du offline registry parser dans les outils Open Source de son livre et donc [le code en Perl est là!].

Je sens que les spécialistes de l'investigation sous Windows et les Big brothers en puissance vont s'en donner à cœur joie.

Libellés : , ,