# Live forensic

Le live forensique consiste à récupérer des informations sur l’état d’un système à un moment T.

### Commandes

![](https://3571537825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FOIXudYEdnnE8JjXBrL0o%2Fuploads%2FM42U0sAK4FX14Ru7Vm0s%2FCapture.PNG?alt=media\&token=3d62a87c-013a-4b14-98e5-57c036d7b108)

### Réseau/Firewall

```bash
netsh advfirewall firewall show rule name=all,
netsh firewall show allowedprogram 
netsh firewall show config 
netstat –aon 
cartes réseau : ipconfig /all
table ARP : arp -a
route : route PRINT
DNS : ipconfig /displaydns
Connections NetBios : nbtstat -c, nbtstat -S
Partages réseau : net use
```

### Données système

```bash
Version de l’OS, Heure de démarrage... : «systeminfo»
Programmes lancés au démarrage : « Autoruns » de Sysinternals
Services : « Powershell> get-service »
Utilisateurs connectés : whoami 
Processus en cours : « Powershell> get-process » 
SID users : wmic useraccount get name,sid 
Ruches système et utilisateur (C:\Windows\System32\config & C:\Users%USER%) § NTUSER.DAT, SYSTEM, SOFTWARE, SAM, Amcache.hve 
Prefetchs (C:\Windows\Prefetch) 
Evénements (C:\Windows\System32\winevt\Logs)
```