Module 3 — Fondamentaux

The Windows Operating System

Comprendre l'architecture de Windows, ses composants critiques et les outils d'administration essentiels pour un analyste en cybersécurité.

Comprendre l'architecture de Windows (Kernel mode vs User mode)
Maîtriser le système de fichiers NTFS et les permissions
Explorer le Registre Windows et son rôle en sécurité
Identifier les processus critiques et détecter les processus suspects
Utiliser les outils d'administration et la ligne de commande
Analyser les Windows Event Logs pour la détection d'incidents

🧠 3.1 — Architecture Windows

Windows est le système d'exploitation le plus utilisé dans les entreprises. Comprendre son architecture interne est fondamental pour tout analyste SOC, car la majorité des attaques ciblent des machines Windows.

Le noyau (Kernel), c'est le cerveau de l'OS. Imagine un immeuble de bureaux : le Kernel est le directeur général, enfermé dans un bureau sécurisé au dernier étage. Il contrôle tout (mémoire, processeur, périphériques) mais personne ne peut y accéder directement. Les employés (applications) doivent passer par la réception (API système) pour faire leurs demandes.

User mode vs Kernel mode et les Protection Rings

Windows sépare strictement deux niveaux d'exécution pour protéger le système. L'architecture x86 d'Intel definit 4 niveaux de privilege (Rings), mais Windows n'en utilise que deux :

Protection Rings x86 (utilisés par Windows)

📱 Ring 3 — User mode (Applications)

C'est l'espace ou tournent les applications utilisateur : navigateur, Word, jeux, etc. C'est le niveau de privilege le plus bas.

Acces limite aux ressources materielles
Ne peut pas acceder directement a la memoire ou au materiel
Si une application plante, seule cette application est affectee
Doit passer par les System Calls (appels systeme) pour demander des ressources au Kernel
Contient les subsystems (Win32, WoW64) et les subsystem DLLs (kernel32.dll, user32.dll, advapi32.dll)

Analogie : Les employes dans leur bureau. Ils peuvent travailler sur leurs taches, mais s'ils ont besoin d'acceder au coffre-fort, ils doivent demander au directeur.

Ring 2 et Ring 1 — Non utilises par Windows (reserves historiquement pour les drivers de peripheriques sur d'autres OS)

System Call Interface / NTDLL.dll (Frontiere User / Kernel)

⚙️ Ring 0 — Kernel mode (Noyau + Drivers)

C'est le coeur du systeme. Le code qui s'execute ici a un acces total a toutes les ressources. C'est le niveau de privilege le plus eleve.

Acces direct au materiel (CPU, memoire, disques)
Gere les drivers (pilotes de peripheriques) — les drivers tournent en Ring 0
Si un bug survient ici, c'est le BSOD (Blue Screen of Death)
Contient le NT Kernel (ntoskrnl.exe), l'Executive, le HAL, et les drivers
Contient le Window Manager (win32k.sys) pour l'interface graphique

Danger : Un malware qui atteint le Kernel mode (rootkit) a un controle total sur la machine et est extremement difficile a detecter.

🔧 HAL (Hardware Abstraction Layer) — hal.dll

Le HAL est la couche la plus basse du Kernel, faisant le lien direct avec le materiel physique.

Permet au Kernel de fonctionner sur differents materiels sans modification
Traduit les instructions generiques du Kernel en commandes specifiques au materiel
Gere les interruptions materielles, les bus, les timers

Analogie : Le HAL est comme un traducteur universel. Le directeur (Kernel) parle une seule langue, et le HAL traduit ses ordres pour que chaque machine (imprimante, carte graphique, disque dur) comprenne.

Composants cles du Kernel

Composant	Fichier	Role
NT Kernel	ntoskrnl.exe	Noyau principal : scheduling des threads, gestion des interruptions, synchronisation
HAL	hal.dll	Abstraction du materiel, gestion des interruptions hardware
Executive	Partie de ntoskrnl.exe	Couche superieure du kernel : Process Manager, Memory Manager, I/O Manager, Security Reference Monitor, Object Manager, Cache Manager
Win32k	win32k.sys	Interface graphique (GUI), Window Manager et GDI (Graphics Device Interface)
NTDLL	ntdll.dll	Pont entre User mode et Kernel mode (system calls / stubs)
Kernel32.dll	kernel32.dll	API Windows principale (User mode) : fichiers, processus, memoire

Windows Executive Services (detail)

L'Executive est la partie superieure du kernel (dans ntoskrnl.exe). Il contient les gestionnaires principaux que NetAcad teste frequemment :

Executive Service	Role	Pertinence securite
Process Manager	Creation, terminaison et gestion des processus et threads	Un analyste surveille la creation de processus anormaux (Event ID 4688)
Memory Manager	Gestion de la memoire virtuelle, pagination, allocation memoire	Les attaques par injection memoire (DLL injection, process hollowing) exploitent le Memory Manager
I/O Manager	Gestion de toutes les entrees/sorties : disque, reseau, peripheriques	Intercepte les requetes I/O via les IRP (I/O Request Packets) — les rootkits modifient les IRP
Security Reference Monitor (SRM)	Applique les politiques de securite, verifie les ACL, genere les tokens d'acces	C'est le composant qui decide si un utilisateur/processus a le droit d'acceder a une ressource
Object Manager	Gere tous les objets kernel (fichiers, processus, cles de registre, mutexes)	Chaque ressource Windows est un objet avec un descripteur de securite
Cache Manager	Cache les donnees de fichiers en memoire pour accelerer les I/O	Les donnees sensibles peuvent rester en cache memoire
Plug and Play Manager	Detection et configuration automatique du materiel	Les peripheriques USB malveillants (BadUSB) exploitent le PnP
Power Manager	Gestion de l'alimentation et des etats de veille	La memoire peut conserver des donnees sensibles en mode veille (attaques cold boot)

Point cle NetAcad

Le Security Reference Monitor (SRM) est le composant du kernel qui applique les controles d'acces. A chaque tentative d'acces a une ressource, le SRM compare le token d'acces du processus avec le descripteur de securite (Security Descriptor) de la ressource. Si les permissions ne correspondent pas, l'acces est refuse.

Point securite

Les rootkits sont des malwares qui operent en Kernel mode (Ring 0). Ils peuvent masquer des processus, des fichiers et des connexions reseau, les rendant invisibles pour les outils de securite classiques. C'est pourquoi les outils anti-rootkit operent aussi en Kernel mode. Les rootkits modernes peuvent modifier la SSDT (System Service Descriptor Table) pour intercepter les system calls.

📁 3.2 — Système de fichiers

Le système de fichiers (file system) est la manière dont Windows organise et stocke les données sur le disque. Comprendre les systèmes de fichiers est crucial pour l'analyse forensique et la gestion des permissions.

NTFS — New Technology File System

Le système de fichiers standard de Windows depuis Windows NT. C'est le format recommandé pour toute installation Windows.

Taille maximale de fichier : 16 To (théorique)
Journalisation (journaling) : enregistre les modifications avant de les appliquer, protection contre les corruptions
Permissions granulaires : contrôle d'accès fichier par fichier (ACL)
Chiffrement : EFS (Encrypting File System) intégré
Compression : compression native des fichiers
Alternate Data Streams (ADS) : flux de données cachés
Quotas de disque : limitation de l'espace par utilisateur

FAT32 — File Allocation Table 32

Un système de fichiers ancien mais encore utilisé pour les clés USB et la compatibilité multiplateforme.

Taille maximale de fichier : 4 Go (limitation majeure)
Pas de journalisation : vulnérable aux corruptions
Pas de permissions : aucun contrôle d'accès
Pas de chiffrement natif
Compatibilité universelle : lisible par Windows, macOS, Linux

Risque sécurité

FAT32 n'offre aucune permission de fichier. Quiconque a accès au support peut lire, modifier ou supprimer tous les fichiers.

Comparaison NTFS vs FAT32

Caractéristique	NTFS	FAT32
Taille max fichier	16 To	4 Go
Journalisation	Oui	Non
Permissions (ACL)	Oui	Non
Chiffrement (EFS)	Oui	Non
ADS	Oui	Non
Compatibilité	Windows	Universel
Utilisation typique	Disque système	Clés USB

Permissions NTFS

NTFS permet de definir des permissions granulaires via les ACL (Access Control Lists). Chaque fichier et dossier possede une DACL (Discretionary Access Control List) qui liste les ACE (Access Control Entries) definissant les utilisateurs/groupes et leurs droits.

Les 6 permissions NTFS standard

Permission	Description	Fichier	Dossier
Read (R)	Lire le contenu et les attributs	Ouvrir et lire le fichier, voir les attributs et permissions	Lister les fichiers, voir les attributs
Write (W)	Modifier le contenu	Modifier le contenu du fichier, changer les attributs	Ajouter des fichiers et sous-dossiers
Read & Execute (RX)	Lire et executer	Read + executer le programme	Read + parcourir le dossier (traverse)
List Folder Contents	Lister le contenu (dossiers uniquement)	N/A (dossiers seulement)	Lister les fichiers et sous-dossiers — similaire a RX mais heritee uniquement par les dossiers
Modify (M)	Read + Write + Execute + Delete	Modifier, executer et supprimer le fichier	Modifier et supprimer le dossier et son contenu
Full Control (FC)	Toutes les permissions	Tout + modifier les permissions + prendre possession (Take Ownership)	Tout + modifier les permissions + prendre possession

Difference cle : List Folder Contents vs Read & Execute

List Folder Contents est heritee uniquement par les sous-dossiers, pas par les fichiers. Read & Execute est heritee par les dossiers ET les fichiers. C'est une question frequente dans les examens NetAcad.

Heritage des permissions (Inheritance)

Par defaut, les fichiers et sous-dossiers heritent des permissions de leur dossier parent. Comprendre l'heritage est essentiel :

Permissions heritees : proviennent du dossier parent, affichees en grise dans l'onglet Security
Permissions explicites : definies directement sur le fichier/dossier, prioritaires sur les permissions heritees
Casser l'heritage : on peut bloquer l'heritage pour un dossier specifique (clic droit > Properties > Security > Advanced > Disable inheritance). On peut alors copier les permissions existantes ou repartir de zero
Deny vs Allow : une permission Deny (refus explicite) est toujours prioritaire sur Allow, sauf si la permission Allow est explicite et le Deny est herite

Effective Permissions (Permissions effectives)

Les permissions effectives sont les permissions reellement appliquees a un utilisateur, calculees en combinant :

Les permissions de l'utilisateur directement
Les permissions de tous les groupes dont il est membre (les permissions Allow se cumulent)
Les permissions Deny (qui annulent les Allow)
L'heritage du dossier parent

Regle importante pour l'examen

Quand un utilisateur est membre de plusieurs groupes, ses permissions Allow se cumulent (la plus permissive l'emporte). Mais si un seul groupe a un Deny, le Deny l'emporte toujours sur tous les Allow. Verification : onglet Security > Advanced > Effective Access.

NTFS vs Share Permissions

Quand un dossier est partage en reseau, deux niveaux de permissions s'appliquent :

Aspect	Permissions NTFS	Permissions de partage (Share)
S'appliquent	En local ET en reseau	Uniquement en acces reseau
Granularite	6 niveaux (R, W, RX, List, M, FC)	3 niveaux seulement (Read, Change, Full Control)
S'appliquent a	Fichiers et dossiers individuels	Au dossier partage entier
Quand les deux s'appliquent	La permission la plus restrictive entre NTFS et Share est appliquee

Alternate Data Streams (ADS)

Les ADS sont une fonctionnalité NTFS qui permet d'attacher des flux de données cachés à un fichier. Le contenu d'un ADS n'est pas visible dans l'Explorateur de fichiers ni avec la commande dir classique.

Imagine un livre avec des pages secrètes. Le livre normal (le fichier) est visible par tout le monde. Mais entre certaines pages, il y a des feuilles cachées (ADS) que seul quelqu'un qui sait où chercher peut trouver. Les attaquants utilisent les ADS pour cacher du code malveillant dans des fichiers apparemment innocents.

Menace ADS

Les attaquants peuvent utiliser les ADS pour :

Cacher un exécutable malveillant dans un fichier texte innocent
Stocker des données volées avant exfiltration
Dissimuler des outils de hacking sur un système compromis

Détection : utiliser dir /r pour lister les ADS, ou les outils Sysinternals comme streams.exe.

🗄️ 3.3 — Le Registre Windows (Windows Registry)

Le Registre Windows est une base de données hiérarchique qui stocke les paramètres de configuration du système, des applications et des utilisateurs. C'est un élément central pour la sécurité car de nombreux malwares l'utilisent pour persister sur le système.

Le Registre, c'est le grand livre de comptes de Windows. Tout y est enregistré : les préférences de chaque utilisateur, les programmes installés, les services qui doivent démarrer, les configurations réseau. C'est comme un annuaire géant que Windows consulte en permanence pour savoir comment se comporter.

Les Hives (ruches) principales

Contient la configuration système, valable pour tous les utilisateurs de la machine.

HKLM\SOFTWARE : configuration des logiciels installés
HKLM\SYSTEM : configuration du système (services, drivers)
HKLM\SECURITY : politique de sécurité locale
HKLM\SAM : base de données des comptes utilisateurs (Security Account Manager)

Forensics

Les fichiers physiques des ruches se trouvent dans C:\Windows\System32\config\ (SAM, SYSTEM, SECURITY, SOFTWARE).

Contient la configuration de l'utilisateur actuellement connecté.

HKCU\Software : paramètres des applications pour l'utilisateur
HKCU\Environment : variables d'environnement utilisateur
HKCU\Control Panel : préférences d'affichage, clavier, souris

Fichier physique : C:\Users\<nom>\NTUSER.DAT

Contient les profils de tous les utilisateurs qui se sont connectés sur la machine. HKCU est en fait un sous-ensemble de HKU correspondant à l'utilisateur actif.

Fusion de HKLM\SOFTWARE\Classes et HKCU\Software\Classes. Gère les associations de fichiers (quel programme ouvre quel type de fichier) et les objets COM.

Sécurité : Un attaquant peut modifier les associations pour qu'un fichier .txt ouvre un programme malveillant au lieu du Bloc-notes.

Contient la configuration matérielle actuelle du système (profil hardware courant). Rarement manipulé directement.

Resume des 5 Hives (tableau de reference)

Hive (abreviation)	Contenu	Fichier physique	Portee
HKLM	Configuration systeme globale (logiciels, services, drivers, SAM)	`C:\Windows\System32\config\` (SAM, SYSTEM, SECURITY, SOFTWARE)	Tous les utilisateurs
HKCU	Configuration de l'utilisateur connecte	`C:\Users\<nom>\NTUSER.DAT`	Utilisateur courant
HKU	Profils de tous les utilisateurs (HKCU est un sous-ensemble)	Tous les NTUSER.DAT charges	Tous les profils
HKCR	Associations de fichiers et objets COM (fusion HKLM\SOFTWARE\Classes + HKCU\Software\Classes)	Vue fusionnee (pas de fichier propre)	Systeme + utilisateur
HKCC	Profil hardware actuel	Sous-ensemble de HKLM\SYSTEM	Machine courante

Cles de Registre critiques pour la securite

Voici les emplacements du Registre les plus surveilles par les analystes, car les malwares les utilisent pour la persistence (survivre aux redemarrages) :

Autostart Locations (Run / RunOnce)

Cle de Registre	Objectif	Surveillance
`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`	Programmes lances au demarrage (tous les utilisateurs)	Verifier les entrees inconnues
`HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`	Programmes lances au demarrage (utilisateur courant)	Verifier les entrees inconnues
`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce`	Execute une seule fois au prochain demarrage, puis l'entree est supprimee	Souvent utilise pour l'installation de malware
`HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce`	Execute une seule fois pour l'utilisateur courant	Utilise pour du malware cible sur un utilisateur

Autres cles critiques

Cle de Registre	Objectif	Surveillance
`HKLM\SYSTEM\CurrentControlSet\Services`	Liste de tous les services Windows et drivers	Rechercher des services malveillants (Start = 2 pour auto)
`HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon`	Configuration de l'ecran de connexion	Verifier Shell (doit etre explorer.exe) et Userinit (doit etre userinit.exe)
`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run`	Programmes de demarrage via GPO	Utilise par les attaquants dans les environnements Active Directory
`HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist`	Historique des programmes executes (encode en ROT-13)	Forensics : quels programmes ont ete lances et combien de fois
`HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options`	Debugger attache a un executable	Technique de hijacking : remplacer un programme par un malware
`HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs`	Fichiers recemment ouverts par l'utilisateur	Forensics : activite de l'utilisateur

Technique de persistence des malwares

Les cles Run et RunOnce sont les emplacements les plus courants pour la persistence. Un malware ajoute simplement une entree pointant vers son executable, et Windows le lance automatiquement a chaque connexion.

Difference cle : Run execute le programme a chaque connexion. RunOnce execute le programme une seule fois puis supprime l'entree. Les valeurs prefixees par ! dans RunOnce ne sont pas supprimees tant que l'execution n'est pas terminee avec succes.

Commandes de verification :

reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
reg query HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
PowerShell : Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

⚙️ 3.4 — Processus et services Windows

Un processus (process) est un programme en cours d'exécution. Chaque application ouverte, chaque service système crée un ou plusieurs processus. Savoir identifier les processus normaux est essentiel pour repérer les anomalies.

Les processus, c'est comme les employés d'une entreprise. Chacun a un badge (PID), un poste (nom), un responsable (processus parent) et un niveau d'accès (privilèges). Si tu vois quelqu'un sans badge, dans un service où il ne devrait pas être, c'est suspect. Pareil pour les processus Windows.

Comprendre les sessions Windows

Avant d'etudier les processus, il faut comprendre le concept de sessions :

Session 0 : reservee aux services et processus systeme. Isolee de l'interface utilisateur (Session 0 Isolation depuis Vista)
Session 1+ : sessions des utilisateurs connectes (Session 1 = premier utilisateur, Session 2 = deuxieme, etc.)

Point cle NetAcad

La Session 0 Isolation empeche les services (Session 0) d'interagir directement avec le bureau de l'utilisateur (Session 1+). Cela empeche les attaques de type shatter attack ou un service malveillant envoie des messages a une fenetre utilisateur.

Processus critiques de Windows

Ces processus sont toujours presents sur un systeme Windows sain. Les connaitre permet de reperer les imposteurs. Voici l'arbre de demarrage normal :

Arbre de demarrage des processus Windows

System (PID 4)
  smss.exe (Session Manager)
    csrss.exe (Session 0)
    wininit.exe (Session 0)
      services.exe
        svchost.exe (multiples)
        spoolsv.exe
        MsMpEng.exe
      lsass.exe
    csrss.exe (Session 1)
    winlogon.exe (Session 1)
      userinit.exe
        explorer.exe

System (PID toujours 4) est le premier processus du kernel. smss.exe (Session Manager Subsystem) est le premier processus user mode, lance par System.

Processus	Attribut	Valeur normale	Suspect si...
System	PID	Toujours 4	PID different de 4
	Parent	Aucun (idle process PID 0)	A un parent
	Instances	1 seule	Plusieurs instances
smss.exe	Chemin	`C:\Windows\System32\smss.exe`	Chemin different
	Parent	System (PID 4)	Autre parent
	Instances	1 instance principale (les enfants se terminent)	Plusieurs instances persistantes
	Utilisateur	SYSTEM	Autre utilisateur

smss.exe lance csrss.exe et wininit.exe (Session 0), puis csrss.exe et winlogon.exe (Session 1), puis se detache de ses enfants.

wininit.exe initialise la Session 0 et lance services.exe et lsass.exe. services.exe (Service Control Manager / SCM) est le parent de tous les services Windows.

Processus	Attribut	Valeur normale	Suspect si...
wininit.exe	Chemin	`C:\Windows\System32\wininit.exe`	Chemin different
	Parent	smss.exe (mais smss se termine, donc parent apparait vide)	Parent inattendu
	Session	Session 0 uniquement	Dans une autre session
	Instances	1 seule	Plusieurs instances
services.exe	Chemin	`C:\Windows\System32\services.exe`	Chemin different
	Parent	`wininit.exe`	Autre parent
	Session	Session 0	Autre session
	Instances	1 seule	Plusieurs instances

Processus qui heberge les services Windows. Il y en a plusieurs instances simultanees, chacune gerant un groupe de services. C'est le processus le plus important a connaitre pour l'examen.

Attribut	Valeur normale	Suspect si...
Chemin	`C:\Windows\System32\svchost.exe`	Chemin different (ex: C:\Users\Public\)
Parent	`services.exe` (toujours)	Autre parent (ex: explorer.exe, cmd.exe)
Session	Session 0 (la plupart)	Dans une session utilisateur (Session 1+) sans raison
Instances	Multiples (10-15 est normal, plus sur Win10/11)	N/A (mais verifier chaque instance)
Utilisateur	SYSTEM, LOCAL SERVICE, ou NETWORK SERVICE	Compte utilisateur standard
Parametre	Lance avec `-k <groupe>` (ex: `-k netsvcs`)	Lance sans parametre -k

Attention — processus le plus imite

svchost.exe est le processus le plus imite par les malwares car il y en a beaucoup d'instances. Techniques courantes : svch0st.exe (zero au lieu de o), scvhost.exe (lettres inversees), ou le vrai nom mais dans un mauvais repertoire. Commande de verification : tasklist /svc | findstr svchost

Responsable de l'authentification des utilisateurs. Il verifie les mots de passe, genere les tokens d'acces, applique les politiques de securite et ecrit dans le Security Event Log.

Attribut	Valeur normale	Suspect si...
Chemin	`C:\Windows\System32\lsass.exe`	Chemin different
Parent	`wininit.exe`	Autre parent
Session	Session 0	Autre session
Instances	1 seule	Plusieurs instances (= malware tres probable)
Utilisateur	SYSTEM	Autre utilisateur

Cible n1 des attaquants — Mimikatz

Des outils comme Mimikatz ciblent lsass.exe pour extraire les mots de passe en memoire (credential dumping). Les attaques sur lsass incluent :

Mimikatz sekurlsa::logonpasswords : extrait les credentials en clair depuis la memoire de lsass
ProcDump / Task Manager : creation d'un dump memoire de lsass pour analyse hors ligne
Protection : activer Credential Guard (virtualisation) ou LSA Protection (RunAsPPL) dans le registre

Gere les fenetres de console, la creation/suppression de threads et le mapping des drive letters. Processus critique qui ne peut pas etre arrete (un arret provoque un BSOD).

Attribut	Valeur normale	Suspect si...
Chemin	`C:\Windows\System32\csrss.exe`	Chemin different
Parent	smss.exe (mais smss se termine, parent apparait vide)	Parent visible ou inattendu
Instances	2 (une pour Session 0, une pour Session 1)	Plus de 2 instances (hors sessions supplementaires)
Utilisateur	SYSTEM	Autre utilisateur

Gere l'ecran de connexion (Ctrl+Alt+Del), le verrouillage de session, le changement de mot de passe et charge le profil utilisateur.

Attribut	Valeur normale	Suspect si...
Chemin	`C:\Windows\System32\winlogon.exe`	Chemin different
Parent	smss.exe (parent apparait vide car smss se termine)	Parent visible ou inattendu
Session	Session 1+ (sessions utilisateur)	Session 0
Instances	1 par session utilisateur	Plusieurs dans une meme session
Utilisateur	SYSTEM	Autre utilisateur

Securite : Les cles Winlogon dans le Registre (Shell doit etre explorer.exe, Userinit doit etre userinit.exe,) sont des cibles de persistence pour les malwares.

Fournit le bureau, la barre des taches et l'Explorateur de fichiers. C'est le shell par defaut de Windows.

Attribut	Valeur normale	Suspect si...
Chemin	`C:\Windows\explorer.exe` (pas dans System32 !)	Dans System32 ou autre repertoire
Parent	userinit.exe (qui se termine ensuite, parent apparait vide)	Parent inattendu
Session	Session 1+ (sessions utilisateur)	Session 0
Instances	1 par utilisateur connecte	Plusieurs pour le meme utilisateur
Utilisateur	L'utilisateur connecte	SYSTEM ou autre utilisateur

Tableau recapitulatif des processus critiques

Processus	Parent attendu	Chemin attendu	Instances	Session	Utilisateur
System	None (PID 0)	N/A (kernel)	1 (PID=4)	0	SYSTEM
smss.exe	System	%SystemRoot%\System32\	1	0	SYSTEM
csrss.exe	smss.exe*	%SystemRoot%\System32\	2+	0 et 1+	SYSTEM
wininit.exe	smss.exe*	%SystemRoot%\System32\	1	0	SYSTEM
winlogon.exe	smss.exe*	%SystemRoot%\System32\	1+	1+	SYSTEM
services.exe	wininit.exe	%SystemRoot%\System32\	1	0	SYSTEM
lsass.exe	wininit.exe	%SystemRoot%\System32\	1	0	SYSTEM
svchost.exe	services.exe	%SystemRoot%\System32\	Multiples	0 (plupart)	SYSTEM/LOCAL/NETWORK
explorer.exe	userinit.exe*	%SystemRoot%\ (pas System32)	1/utilisateur	1+	Utilisateur connecte

* Le parent s'est termine, donc le parent apparait comme vide ou non-existent dans les outils.

Windows Services

Un service Windows est un programme qui s'execute en arriere-plan, generalement sans interface graphique, et qui demarre automatiquement avec le systeme.

Types de demarrage des services

Type	Valeur registre	Description
Automatic	Start = 2	Demarre automatiquement au boot. Utilise par les services essentiels
Automatic (Delayed Start)	Start = 2 + DelayedAutostart = 1	Demarre apres les services Automatic, reduit le temps de boot
Manual	Start = 3	Demarre uniquement quand un autre service ou une application en a besoin
Disabled	Start = 4	Ne peut pas demarrer. Utile pour desactiver des services non necessaires (hardening)
Boot	Start = 0	Charge par le boot loader (drivers essentiels)
System	Start = 1	Charge pendant l'initialisation du kernel (drivers)

Commandes de gestion des services

Commande	Description
`sc query`	Lister tous les services et leur etat (RUNNING, STOPPED)
`sc query <nom>`	Details d'un service specifique
`sc qc <nom>`	Configuration d'un service (type de demarrage, chemin de l'executable)
`sc start <nom>`	Demarrer un service
`sc stop <nom>`	Arreter un service
`net start`	Lister les services en cours d'execution
`tasklist /svc`	Lister les processus avec leurs services associes
`Get-Service` (PS)	PowerShell : lister les services avec filtrage avance
`wmic service list brief`	Vue synthetique de tous les services

Services et securite

Les services sont une cible majeure de persistence. Un attaquant peut installer un service malveillant (Event ID 7045) qui s'execute en tant que SYSTEM. Points de verification :

Services avec un chemin d'acces suspect (pas dans System32 ou Program Files)
Services avec un nom generique imitant un service legitime
Services configurees en Automatic qui ne sont pas standard
Services dont le binaire n'est pas signe (pas de signature numerique)

Comment identifier un processus suspect

🚩

Red Flags d'un processus malveillant

Signaux d'alerte a surveiller

Nom similaire mais pas identique : svch0st.exe, scvhost.exe, lssas.exe, csrs.exe
Mauvais chemin : un processus systeme qui ne se trouve pas dans C:\Windows\System32\
Mauvais processus parent : svchost.exe lance par explorer.exe ou cmd.exe au lieu de services.exe
Nombre d'instances anormal : 2 instances de lsass.exe ou services.exe (il ne devrait y en avoir qu'une)
Mauvaise session : un service en Session 1 (utilisateur) au lieu de Session 0
Utilisateur inattendu : un processus systeme execute sous un compte utilisateur standard
Connexion reseau suspecte : un processus qui communique vers une IP inconnue ou un port comme 4444 (Meterpreter)
Haute consommation CPU/RAM sans raison apparente (cryptominer)
Pas de signature numerique : les processus Windows legitimes sont signes par Microsoft

🛠️ 3.5 — Outils d'administration Windows

Un analyste SOC doit maitriser les outils d'administration Windows pour investiguer rapidement un systeme suspect. Voici les outils essentiels :

cmd.exe — L'invite de commandes

L'interpreteur de commandes classique de Windows, herite de MS-DOS. Toujours utile pour les taches rapides.

Commande	Description	Usage securite
`ipconfig /all`	Configuration reseau complete	Verifier DNS, passerelle, IP, adresse MAC
`netstat -ano`	Connexions reseau actives + PID	Detecter des connexions suspectes
`netstat -anob`	Comme -ano + nom du processus	Identifier directement quel programme communique
`tasklist /svc`	Processus et services associes	Identifier les processus suspects
`tasklist /v`	Processus avec details (status, CPU time, titre fenetre)	Analyse approfondie des processus
`systeminfo`	Informations systeme detaillees	Verifier les patches installes, uptime
`net user`	Liste des comptes utilisateurs	Detecter des comptes crees par un attaquant
`net user <nom>`	Details d'un compte specifique	Verifier la derniere connexion, groupes
`net localgroup administrators`	Membres du groupe Administrateurs	Verifier qui a des privileges admin
`net start`	Liste des services en cours	Identifier des services malveillants
`dir /r`	Lister les fichiers + ADS	Detecter les Alternate Data Streams
`schtasks /query`	Lister les taches planifiees	Detecter des taches de persistence

netstat — Detail des flags

La commande netstat est un outil essentiel pour l'analyse reseau. Chaque flag a un role precis :

Flag	Signification	Description
`-a`	All	Affiche toutes les connexions et ports en ecoute (LISTENING + ESTABLISHED + etc.)
`-n`	Numeric	Affiche les adresses et ports en format numerique (pas de resolution DNS = plus rapide)
`-o`	Owner (PID)	Affiche le PID du processus proprietaire de chaque connexion
`-b`	Binary	Affiche le nom de l'executable (necessite les droits admin)
`-e`	Ethernet stats	Statistiques de l'interface Ethernet (octets envoyes/recus, erreurs)
`-s`	Statistics	Statistiques par protocole (TCP, UDP, ICMP, IP)
`-r`	Route	Affiche la table de routage (equivalent `route print`)
`-p TCP`	Protocol filter	Filtre par protocole (TCP, UDP, TCPv6, UDPv6)

Combinaisons les plus utiles

Commande	Usage
`netstat -ano`	Vue rapide de toutes les connexions avec PID (la plus utilisee)
`netstat -anob`	Comme -ano + nom du programme (necessite admin)
`netstat -ano \| findstr ESTABLISHED`	Voir uniquement les connexions actives
`netstat -ano \| findstr :4444`	Chercher un port specifique (ex: Meterpreter)
`netstat -ano \| findstr <PID>`	Voir les connexions d'un processus specifique

Etats des connexions TCP

LISTENING : le port attend des connexions entrantes (serveur)
ESTABLISHED : connexion active entre deux machines
TIME_WAIT : connexion recemment fermee (attend l'expiration du timer)
CLOSE_WAIT : attend la fermeture du cote local
SYN_SENT : tentative de connexion en cours

wmic — Windows Management Instrumentation Command

wmic permet d'interroger le systeme via WMI. C'est un outil puissant pour l'investigation :

Commande	Description
`wmic process list brief`	Vue synthetique des processus (nom, PID, threads, memoire)
`wmic process list full`	Detail complet des processus (chemin, ligne de commande, parent PID)
`wmic process where "name='svchost.exe'" get ProcessId,ParentProcessId,CommandLine`	Verifier les instances de svchost (parent PID et parametres -k)
`wmic service list brief`	Vue synthetique des services (nom, etat, type de demarrage)
`wmic startup list full`	Programmes au demarrage (equivalent des cles Run)
`wmic useraccount list brief`	Liste des comptes utilisateurs locaux
`wmic qfe list brief`	Liste des patches/hotfixes installes
`wmic os get Caption,Version,BuildNumber`	Version precise de l'OS

tasklist — Options avancees

Commande	Description
`tasklist /svc`	Processus avec services heberges (critique pour verifier svchost)
`tasklist /v`	Mode verbose : status, CPU time, titre de fenetre, nom utilisateur
`tasklist /fi "PID eq 6284"`	Filtrer par PID specifique
`tasklist /fi "STATUS eq running"`	Filtrer les processus en cours d'execution
`tasklist /fi "USERNAME eq SYSTEM"`	Processus tournant sous SYSTEM
`tasklist /m`	Lister les DLL chargees par chaque processus

PowerShell — Le shell moderne pour la securite

PowerShell est beaucoup plus puissant que CMD. Il manipule des objets (pas du texte) et accede a tout le framework .NET.

Cmdlets essentiels pour l'analyse de securite

Cmdlet	Description	Exemple
`Get-Process`	Liste des processus	`Get-Process \| Sort-Object CPU -Descending \| Select -First 10`
`Get-Service`	Liste des services	`Get-Service \| Where-Object {$_.Status -eq "Running"}`
`Get-NetTCPConnection`	Connexions TCP actives	`Get-NetTCPConnection -State Established`
`Get-EventLog`	Lecture des Event Logs classiques	`Get-EventLog -LogName Security -Newest 50`
`Get-WinEvent`	Lecture des Event Logs (moderne, plus puissant)	`Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625} -MaxEvents 20`
`Get-ItemProperty`	Lire des cles de Registre	`Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"`
`Get-FileHash`	Calculer le hash d'un fichier	`Get-FileHash -Algorithm SHA256 C:\suspect.exe`
`Get-WmiObject`	Requetes WMI	`Get-WmiObject -Class Win32_Process \| Select Name,ProcessId,ParentProcessId,CommandLine`
`Get-ScheduledTask`	Taches planifiees	`Get-ScheduledTask \| Where-Object {$_.State -eq "Ready"}`
`Get-NetFirewallRule`	Regles du pare-feu	`Get-NetFirewallRule -Enabled True -Direction Inbound`

Exemples concrets d'investigation PowerShell

Scenario	Commande
Trouver les connexions suspectes	`Get-NetTCPConnection -State Established \| Select LocalAddress,LocalPort,RemoteAddress,RemotePort,OwningProcess \| Format-Table`
Trouver les echecs de connexion recents	`Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625} -MaxEvents 50 \| Format-List TimeCreated,Message`
Verifier les programmes au demarrage	`Get-CimInstance Win32_StartupCommand \| Select Name,Command,Location`
Lister les processus avec chemin complet	`Get-Process \| Select Name,Id,Path \| Where-Object {$_.Path -notlike "C:\Windows\*"}`
Verifier les comptes administrateurs locaux	`Get-LocalGroupMember -Group "Administrators"`

PowerShell : outil offensif et defensif

PowerShell est aussi tres utilise par les attaquants (fileless malware, scripts encodes en Base64). Connaissances cles :

Execution Policy : Restricted (defaut), AllSigned, RemoteSigned, Unrestricted, Bypass — peut etre contournee avec -ExecutionPolicy Bypass
Encoded Commands : powershell -EncodedCommand <base64> — les attaquants encodent leurs scripts pour eviter la detection
PowerShell Logging : activer Script Block Logging et Module Logging via GPO pour enregistrer les commandes executees
Constrained Language Mode : limite les fonctionnalites .NET disponibles (protection contre les scripts malveillants)

Outils graphiques (GUI)

Outil	Acces rapide	Description
Task Manager	Ctrl+Shift+Esc	Voir les processus, performances, services, demarrage
Event Viewer	`eventvwr.msc`	Consulter les journaux d'evenements Windows
MMC	`mmc.exe`	Console de management modulaire (snap-ins)
Registry Editor	`regedit.exe`	Naviguer et modifier le Registre
Computer Management	`compmgmt.msc`	Utilisateurs, disques, services, Event Viewer
Resource Monitor	`resmon.exe`	Monitoring CPU, memoire, disque, reseau en temps reel
Local Security Policy	`secpol.msc`	Configurer les politiques de securite locales et d'audit
Local Users and Groups	`lusrmgr.msc`	Gestion des utilisateurs et groupes locaux
Windows Firewall	`wf.msc`	Configuration avancee du pare-feu Windows

🔒 3.5b — Mecanismes de securite Windows

Windows integre plusieurs mecanismes de securite que tout analyste SOC doit connaitre :

Pare-feu host-based (sur chaque machine) qui filtre le trafic reseau entrant et sortant selon des regles.

3 profils : Domain (reseau d'entreprise), Private (reseau domestique), Public (reseau non fiable, le plus restrictif)
Filtre par port, protocole, application et adresse IP
Par defaut : bloque le trafic entrant non sollicite, autorise le trafic sortant
Configuration avancee : wf.msc (Windows Firewall with Advanced Security)
CLI : netsh advfirewall show allprofiles
PowerShell : Get-NetFirewallRule, Get-NetFirewallProfile

Antivirus et anti-malware integre a Windows, active par defaut depuis Windows 8.

Protection en temps reel : analyse les fichiers a l'ouverture, au telechargement et a l'execution
Protection cloud : envoie des echantillons suspects au cloud Microsoft pour analyse
Protection contre les exploits : mitigation des attaques (DEP, ASLR, CFG)
Processus : MsMpEng.exe (le moteur antimalware)
Service : WinDefend
CLI : "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 1
PowerShell : Get-MpComputerStatus, Get-MpThreatDetection

Les attaquants desactivent Defender

Une des premieres actions d'un attaquant est de desactiver ou exclure des dossiers de Windows Defender. Surveiller les modifications de la cle HKLM\SOFTWARE\Microsoft\Windows Defender et les exclusions dans HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions.

Mecanisme qui limite les privileges des applications, meme quand l'utilisateur est administrateur.

Quand un programme demande des privileges eleves, UAC affiche une invite de confirmation (ecran assombri)
Meme un admin a un token restreint par defaut. Le token complet n'est utilise qu'apres confirmation UAC
4 niveaux : Always Notify, Notify (defaut), Notify without dimming, Never Notify
L'icone bouclier indique qu'une action necessite une elevation
Les attaquants cherchent a bypasser UAC (UAC bypass) pour obtenir des privileges admin sans invite

Chiffrement de volume complet (Full Disk Encryption) integre a Windows Pro et Enterprise.

Chiffre le disque entier (y compris le systeme d'exploitation)
Utilise AES 128-bit ou 256-bit
Peut utiliser un TPM (Trusted Platform Module) pour stocker la cle de chiffrement de maniere securisee
Protege contre le vol physique du disque dur
Cle de recuperation : un code de 48 chiffres a conserver en lieu sur (Active Directory, compte Microsoft)
CLI : manage-bde -status pour verifier l'etat de chiffrement
EFS (Encrypting File System) : chiffrement au niveau fichier (different de BitLocker qui chiffre le volume entier)

📋 3.6 — Windows Event Logs

Les Event Logs (journaux d'événements) sont des enregistrements de tout ce qui se passe sur un système Windows. C'est la source de données principale pour un analyste SOC lors d'une investigation.

Les Event Logs, c'est comme les caméras de surveillance d'un immeuble. Ils enregistrent tout : qui est entré, qui a tenté d'entrer sans badge, qui a modifié un document, qui a branché une clé USB. Sans ces enregistrements, impossible de reconstituer ce qui s'est passé lors d'un incident.

Types de journaux principaux

Security Log

Le journal le plus important pour un analyste SOC. Il enregistre les événements liés à la sécurité :

Connexions et déconnexions (logon/logoff)
Tentatives d'accès aux ressources
Modifications de politique de sécurité
Création/suppression de comptes
Escalade de privilèges

Accès : Event Viewer > Windows Logs > Security

Nécessite : des policies d'audit activées (audit policy).

System Log

Enregistre les événements liés au système d'exploitation :

Démarrage et arrêt de services
Erreurs de drivers
Problèmes matériels
Mises à jour Windows

Accès : Event Viewer > Windows Logs > System

Application Log

Enregistre les événements générés par les applications :

Erreurs d'applications
Avertissements de logiciels
Messages d'information des programmes

Accès : Event Viewer > Windows Logs > Application

Event IDs critiques pour la sécurité

Voici les Event IDs que tout analyste SOC doit connaître par coeur :

Event ID	Journal	Description	Importance
4624	Security	Connexion réussie (successful logon)	Qui s'est connecté, quand, comment
4625	Security	Échec de connexion (failed logon)	Brute force, tentatives d'intrusion
4634	Security	Déconnexion (logoff)	Durée de session, activité utilisateur
4648	Security	Connexion avec des identifiants explicites	Mouvement latéral (lateral movement)
4672	Security	Privilèges spéciaux assignés (admin logon)	Escalade de privilèges
4688	Security	Nouveau processus créé	Exécution de malware, process tracking
4720	Security	Compte utilisateur créé	Backdoor : création de compte par un attaquant
4724	Security	Réinitialisation de mot de passe	Compromission de compte
4732	Security	Membre ajouté au groupe local	Ajout au groupe Administrateurs
1102	Security	Journal d'audit effacé	Anti-forensics : l'attaquant efface ses traces
7045	System	Nouveau service installe	Persistence via un service malveillant
7036	System	Service demarre ou arrete	Surveiller l'arret de services de securite (Defender, Firewall)
4689	Security	Processus termine	Correler avec 4688 pour determiner la duree de vie d'un processus
4697	Security	Service installe dans le systeme	Similaire a 7045 mais dans le Security Log (plus fiable)
4698	Security	Tache planifiee creee	Persistence via scheduled task

Scénario d'attaque typique dans les logs

Un attaquant qui compromet un système laisse souvent cette trace dans les logs :

4625 (multiples) : tentatives de brute force
4624 : connexion réussie après le brute force
4672 : obtention de privilèges admin
4720 : création d'un compte backdoor
4732 : ajout du compte au groupe Administrateurs
7045 : installation d'un service malveillant pour la persistence
1102 : tentative d'effacement des logs

Logon Types

L'Event ID 4624 contient un champ Logon Type qui indique comment l'utilisateur s'est connecté :

Type	Nom	Description
2	Interactive	Connexion physique au clavier (console)
3	Network	Connexion réseau (partage de fichiers, etc.)
4	Batch	Tâche planifiée (scheduled task)
5	Service	Démarrage d'un service Windows
7	Unlock	Déverrouillage de session
10	RemoteInteractive	Connexion Bureau a distance (RDP)
11	CachedInteractive	Connexion avec des credentials mis en cache (hors reseau, laptop deconnecte du domaine)

Astuce d'investigation

Un Logon Type 10 (RDP) depuis une IP externe inconnue est un signe d'intrusion potentielle. Un Logon Type 3 (Network) avec des identifiants admin sur de multiples machines peut indiquer un lateral movement. Le Type 11 (CachedInteractive) est normal pour les laptops hors reseau mais peut aussi indiquer l'utilisation de credentials voles mis en cache.

Champs importants des Event Logs

Chaque evenement Security contient des champs (fields) critiques pour l'investigation :

Champ	Description	Utilisation
TimeCreated	Date et heure de l'evenement	Timeline de l'attaque
TargetUserName	Compte cible de l'action	Qui est vise par l'attaque
SubjectUserName	Compte qui a initie l'action	Qui a fait l'action
LogonType	Methode de connexion (2, 3, 10, etc.)	Comment l'utilisateur s'est connecte
IpAddress / WorkstationName	IP ou nom de la machine source	D'ou vient la connexion
ProcessName / NewProcessName	Chemin du processus (4688)	Quel programme a ete lance
ParentProcessName	Processus parent (4688, si audit active)	Quel programme a lance le processus
Status / SubStatus	Code d'erreur (4625)	Raison de l'echec (0xC000006A = mauvais mot de passe, 0xC0000064 = utilisateur inexistant)

🔬 3.7 — Lab : Terminal Windows

Pratique les commandes Windows essentielles pour un analyste SOC. Tape les commandes dans le terminal ci-dessous pour explorer un système Windows simulé.

Commandes disponibles

Essaie : ipconfig, ipconfig /all, netstat -ano, tasklist, tasklist /svc, systeminfo, net user, net start, whoami, hostname, dir /r, reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, wmic process list brief, help

cmd.exe — Windows Command Prompt

Microsoft Windows [Version 10.0.19045.3930]

C:\Users\analyst>

Investigation : peux-tu trouver les anomalies ?

Ce système a été compromis ! Utilise les commandes pour trouver :

Un processus suspect avec un nom qui imite un processus système
Une connexion réseau suspecte vers un port inhabituel
Un compte utilisateur potentiellement créé par l'attaquant
Une clé de Registre de persistence suspecte
Un Alternate Data Stream caché dans un fichier
Un service suspect en cours d'exécution

🔍 3.8 — Artefacts forensiques Windows

Au-delà des Event Logs, Windows génère de nombreux artefacts forensiques que les analystes SOC utilisent pour reconstituer l'activité d'un attaquant sur un système compromis.

Artefact	Emplacement	Information fournie
Prefetch	`C:\Windows\Prefetch\`	Programmes exécutés, nombre d'exécutions, horodatage de dernière exécution
Shimcache (AppCompatCache)	Registry : `SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache`	Programmes exécutés ou présents sur le disque, horodatage de modification
Amcache	`C:\Windows\appcompat\Programs\Amcache.hve`	Chemin complet, hash SHA-1, éditeur, version des programmes installés/exécutés
LNK Files	`C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent\`	Fichiers récemment ouverts, chemins d'accès (même sur partages réseau), horodatages
Jump Lists	`C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\`	Fichiers récents par application, historique d'ouverture
Shellbags	Registry : `NTUSER.DAT` et `UsrClass.dat`	Dossiers visités dans l'Explorer (même supprimés), préférences d'affichage
$MFT	Racine NTFS	Métadonnées de TOUS les fichiers (créés, modifiés, supprimés)
$UsnJrnl	Journal NTFS	Historique des modifications de fichiers (création, suppression, renommage)

ADS (Alternate Data Streams) comme technique de dissimulation

Le système NTFS permet d'attacher des flux de données alternatifs (ADS) à n'importe quel fichier. Les malwares utilisent cette technique pour cacher du code malveillant dans des fichiers d'apparence légitime. Un fichier document.txt peut contenir un exécutable caché dans document.txt:malware.exe. Commande de détection : dir /r ou Get-Item -Stream *.

Outils d'analyse forensique Windows

Registry Explorer / RegRipper — Analyse offline du registre
PECmd — Parse les fichiers Prefetch
MFTECmd — Analyse la $MFT
LECmd — Parse les fichiers LNK
JLECmd — Parse les Jump Lists
ShellBagsExplorer — Visualise les Shellbags

📝 3.9 — Quiz de révision

Points cles du Module 3

Windows utilise les Protection Rings x86 : Ring 0 (Kernel mode, acces total) et Ring 3 (User mode, restreint). Rings 1 et 2 ne sont pas utilises. Un crash en Ring 0 provoque un BSOD
L'Executive (dans ntoskrnl.exe) contient les gestionnaires critiques : Process Manager, Memory Manager, I/O Manager, Security Reference Monitor (qui applique les ACL)
Le HAL (hal.dll) est la couche la plus basse, faisant le lien entre le Kernel et le materiel physique
NTFS offre 6 permissions standard : Read, Write, Read & Execute, List Folder Contents (dossiers seulement), Modify, Full Control. Les permissions Deny sont prioritaires sur Allow. Quand NTFS et Share permissions s'appliquent, la plus restrictive l'emporte
Les Alternate Data Streams (ADS) permettent de cacher des donnees dans des fichiers NTFS. Detection : dir /r ou streams.exe
Le Registre Windows a 5 hives : HKLM, HKCU, HKU, HKCR, HKCC. Les cles Run et RunOnce sont les cibles principales de persistence. Run execute a chaque connexion, RunOnce une seule fois
svchost.exe : parent = services.exe, Session 0, compte SYSTEM/LOCAL/NETWORK SERVICE, lance avec -k. C'est le processus le plus imite par les malwares
lsass.exe : 1 seule instance, parent = wininit.exe, Session 0. Cible de Mimikatz pour le credential dumping. Protection : Credential Guard, LSA Protection (RunAsPPL)
Les services Windows ont 3 types de demarrage principaux : Automatic (Start=2), Manual (Start=3), Disabled (Start=4). Event ID 7045 = nouveau service installe
netstat -ano : -a (all), -n (numeric), -o (PID). Ajouter -b pour le nom du programme (admin requis)
PowerShell pour la securite : Get-Process, Get-Service, Get-NetTCPConnection, Get-WinEvent, Get-WmiObject, Get-FileHash
Mecanismes de securite : Windows Firewall (3 profils), Windows Defender (MsMpEng.exe), UAC (token restreint par defaut), BitLocker (chiffrement de volume AES)
Event IDs critiques : 4624 (logon), 4625 (failed logon), 4648 (explicit credentials), 4672 (admin logon), 4688 (new process), 4720 (account created), 4732 (added to group), 1102 (log cleared), 7045 (new service)
Logon Types : 2 (Interactive), 3 (Network), 4 (Batch), 5 (Service), 7 (Unlock), 10 (RDP), 11 (CachedInteractive)
Les artefacts forensiques Windows (Prefetch, Amcache, Shimcache, LNK, Shellbags) permettent de reconstituer l'activité
Les ADS (Alternate Data Streams) NTFS peuvent cacher du code malveillant