Nom /Prénom : Kadiri Nohayla

Filière : SICS4

Computer Forensics: 2021 /2022

TP Logs sous Windows:

OUTILS:

****FICHIER:
- racfor_lab_dnevnici_windows.7z.001
- racfor_lab_dnevnici_windows.7z.002

****VIRTUAL BOX

****ENVIRONNEMENT : WINDOWS10

OBJECTIF :
- Faire une investigation sur une machine d’un système d'exploitation Windows en
analysant les logs ;

*********Analyse:

Les différents journaux au format EVTX (on a windows7) se sont stockés dans le dossier
C:\Windows\System32\winevt\Logs. Comme le suivant :
On consulte les journaux dans la console event viewer (l'observateur d'événements).
On peut trouver dans un journal plusieurs niveaux d’avertissement comme :
• Erreur : concerne les problèmes importants tels qu’une perte de données ou
une perte de fonctions. Par exemple, si un service n’a pas pu être chargé au
démarrage, un événement de type Erreur est enregistré.
• Avertissement : peut annoncer des problèmes qui surviendront
ultérieurement. Par exemple, lors d’une baisse importante de l’espace
disque disponible, un événement de type Avertissement est enregistré.
• Information : décrit la réussite de l’opération pour une application, un pilote
ou un service. Par exemple, lorsqu’un pilote réseau est chargé correctement,
ou alors qu’un service a démarré avec succès.
Journaux système :

Avec l’option de filtre on trouve tous les logs critique de system :

On a 4 events catégorisés de niveau critical ;

Kernel-Power (Event ID 41) est un problème assez sérieux indiquant des problèmes liés à
l'alimentation ou peut être lié aux disques durs, à la mémoire. Ce qui signifie qu'il y a un
problème d'arrêt incorrect ;

Microsoft-Windows-DateTimeControlPanel%4Operational.evtx
Lorsque nous définissons une modification de date ou d'heure, cet event l'enregistre.

L'utilisateur a modifié l'heure et la date du système. La date qu'il a fixée est le 7/24/2013
2 : 39 :55 AM.
Audit User Account Management
Audit Events est un outil pour suivre les événements importants tels que qui a effectué certaines
actions et l'heure à laquelle elles se sont produites.

Une tentative a été faite pour réinitialiser le mot de passe du compte utilisateur le 7/24/2013 à
2 : 39 :55 AM.
Event erreur : journal système- IP adresse :
On filtre tous les events source qui ont relation avec le TCP-IP avec le niveau erreur dans le
journal système :

On a trouvé un event d’un id 4199 où le système a détecté une erreur un conflit IP avec l’adresse
mac ; il est possible que l’utilisateur veuille sécuriser son réseau en mettant un filtre MAC, cela ne
permet à certaines adresses mac pour recevoir une adresse IP ce qui limite tout autre dispositif qui
ne soit pas enregistré sur le réseau ;
Journal de sécurité-Microsoft Windows Security auditing :
Le journal de sécurité enregistre chaque évènement tel que défini par les politiques d’audit ;et un de
sécurité Windows a un keyword indique la réussite ou l’échec des events ;

On cherche ici les « Audit Failure » pour avoir les tentatives de connexion infructueuses ;

Alors on voit que la dernière a été le 1 /09/2018 2 :29 :57 AM qui a essayé de se connecter.