Registre Windows — Artefacts clés

Persistance Artefact

Ruches importantes

SAM      : hashes des mots de passe locaux
SYSTEM   : clé de déchiffrement du SAM
NTUSER.DAT : registre par utilisateur (récent, typed)
Software : logiciels installés, URLs visitées

# Récupérer les hashes
impacket-secretsdump -sam SAM -system SYSTEM LOCAL

Clés de persistance

# Run/RunOnce (exécution au démarrage)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

# Services
HKLM\SYSTEM\CurrentControlSet\Services

# Analyser
RegRipper -r NTUSER.DAT -a > output.txt
RegShot (comparer avant/après infection)