Le live forensique consiste à récupérer des informations sur l’état d’un système à un moment T.
netsh advfirewall firewall show rule name=all,
netsh firewall show allowedprogram
netsh firewall show config
netstat –aon
cartes réseau : ipconfig /all
table ARP : arp -a
route : route PRINT
DNS : ipconfig /displaydns
Connections NetBios : nbtstat -c, nbtstat -S
Partages réseau : net use
Version de l’OS, Heure de démarrage... : «systeminfo»
Programmes lancés au démarrage : « Autoruns » de Sysinternals
Services : « Powershell> get-service »
Utilisateurs connectés : whoami
Processus en cours : « Powershell> get-process »
SID users : wmic useraccount get name,sid
Ruches système et utilisateur (C:\Windows\System32\config & C:\Users%USER%) § NTUSER.DAT, SYSTEM, SOFTWARE, SAM, Amcache.hve
Prefetchs (C:\Windows\Prefetch)
Evénements (C:\Windows\System32\winevt\Logs)
