Windows

windows

Windows event logs

Les event logs Windows sont des journaux qui répertorient chaque action de chaque application sur le système, tels que les messages d’erreur, d’information et de warning.

Sous Windows 7, les logs se situent dans le répertoire ** %SystemRoot%\System32\Winevt\Logs **

** Les services Windows ** sont des applications qui démarrent généralement au démarrage de l’ordinateur et s’exécutent silencieusement en arrière-plan jusqu’à son arrêt.

Il est possible d’y accéder avec l’interface native ** services.msc. **

Les Prefetch

Les Prefetch sont des fichiers créés par le système lorsqu’une application s’exécute sur le système. Le répertoire Prefetch contiendra un enregistrement historique des 128 derniers programmes “uniques” exécutés sur le système. Les Prefetch se trouvent dans le répertoire C:\Windows\Prefetch. En les classant par ordre chronologique, il sera possible d’identifier les programmes qui se sont exécutés sur le système.

Le registre

Le registre Windows est une base de données hiérarchique qui stocke les paramètres de bas niveau pour le système d’exploitation Microsoft Windows et pour les applications qui choisissent d’utiliser le registre. Le noyau, les pilotes de périphérique, les services, le gestionnaire de comptes de sécurité (SAM) et l’interface utilisateur peuvent tous utiliser le registre.

Le registre contient des informations auxquelles Windows fait constamment référence pendant son fonctionnement, telles que les profils de chaque utilisateur, les applications installées sur l’ordinateur et les types de documents que chacun peut créer, les propriétés des dossiers et des icônes d’application, le matériel existant sur le système, et les ports utilisés.

Les ruches du registre sont stockées dans le répertoire %SystemRoot%\System32\config. Une ruche est un groupe logique de clés, de sous-clés et de valeurs dans le registre, qui contient un ensemble de fichiers de prise en charge contenant des sauvegardes de ses données.

Chaque fois qu’un nouvel utilisateur ouvre une session sur un ordinateur, un nouveau répertoire est créé pour cet utilisateur avec un fichier distinct pour le profil utilisateur. Ceci s’appelle la ruche de profil d’utilisateur.

La ruche d’un utilisateur contient des informations de registre spécifiques concernant ses paramètres d’application, son bureau, son environnement, ses connexions réseau et ses imprimantes. Les ruches de profil utilisateur se trouvent sous la clé HKEY_USERS. T16:46:44+02:00stem.log, System.sav | HKEY_CURRENT_USER | Ntuser.dat, Ntuser.dat.log | HKEY_LOCAL_MACHINE\SAM | Sam, Sam.log, Sam.sav | HKEY_LOCAL_MACHINE\Security | Security, Security.log, Security.sav | HKEY_LOCAL_MACHINE\Software | Software, Software.log, Software.sav | HKEY_LOCAL_MACHINE\System | System, System.alt, System.log, System.sav | HKEY_USERS.DEFAULT | Default, Default.log, Default.sav | HKEY_USERS.DEFAULT |

SAM (gestionnaire de compte de sécurité) : contient toutes les informations de comptes utilisateurs et de droits d’accès ;

Sécurité : le noyau y accédera pour lire et appliquer la politique de sécurité applicable à l’utilisateur actuel et à toutes les applications ou opérations exécutées par cet utilisateur ;

Défaut : ruche utilisée par le compte système local. Utilisée par les programmes et services exécutés en tant que système local ;

Système : contient des informations sur la configuration du système Windows, la liste des périphériques montés contenant un système de fichiers, ainsi que plusieurs “HKLM \ SYSTEM \ Control Sets” numérotés, contenant d’autres configurations de pilotes de système et de services exécutés sur le système local ;

Logiciel : contient le logiciel et les paramètres Windows, principalement modifiés par les installateurs d’applications et de systèmes ;

Ntuser.dat : contient les paramètres spécifiques à chaque utilisateur (les profils itinérants l’utilisent).