Forensic Windows – Partie 5 : Analyser le BAM et le DAM
Sur un poste Windows, deux clés de registre discrètes conservent la liste des programmes lancés par chaque utilisateur, avec la date de leur dernière exécution. Ces deux clés portent les noms de BAM (Background Activity Moderator) et DAM (Desktop Activity Moderator). Bien qu’elles ne soient pas conçues pour l’investigation numérique, elles constituent une preuve d’exécution directement attribuable à un compte utilisateur, ce qui en fait un artefact précieux lors d’une réponse à incident.
Qu’est-ce que le BAM et le DAM ?
BAM et DAM sont des mécanismes introduits à partir de Windows 10 et présents dans Windows 11. Leur objectif est de réguler l’activité des applications pour optimiser les performances et la consommation énergétique du système.
BAM se concentre sur les processus en arrière-plan, en s’appuyant sur le pilote bam.sys, et enregistre le chemin des exécutables ainsi que l’horodatage de leur dernière exécution. Ce suivi permet de limiter ou de suspendre certaines activités lorsque l’utilisateur n’est plus actif ou après une fermeture de session.
DAM, de son côté, s’applique aux applications de bureau et est étroitement lié à la veille moderne (Modern Standby), limitant l’activité des applications lorsque l’écran est éteint.
Où sont stockées les données BAM et DAM ?
BAM et DAM se trouvent dans deux chemins de registre, répartis par utilisateur. Chaque compte dispose de sa propre sous-clé, nommée d’après son SID (Security Identifier). Pour accéder aux données, il est nécessaire de connaître le SID de l’utilisateur ciblé.
HKLM\SYSTEM\CurrentControlSet\Services\bam\State\UserSettings\
Contrairement à BAM, le mécanisme DAM n’est pas toujours exploitable, car son fonctionnement dépend des fonctionnalités de gestion d’alimentation. Sur de nombreux systèmes, notamment les postes fixes et les serveurs, la clé est présente mais reste vide.
Analyser le contenu de BAM et DAM
Pour analyser les données, il est possible d’ouvrir le chemin de registre et d’identifier plusieurs informations sur les applications utilisées, telles que l’exécution d’outils comme BloodHound. Toutefois, la lecture brute du registre est limitée, et des outils comme Registry Explorer, développé par Eric Zimmerman, peuvent faciliter l’interprétation des données.
Une fois téléchargé et exécuté en mode administrateur, l’outil permet de charger la ruche SYSTEM et d’accéder facilement aux données BAM.
Avantages et limites
BAM conserve une trace d’exécution d’une application, même si celle-ci a été supprimée par l’utilisateur, permettant de retrouver son exécution sur une période allant jusqu’à sept jours. Dans un contexte forensic, BAM et DAM offrent une visibilité intéressante sur l’activité des programmes, permettant d’identifier quel exécutable a été lancé, à quel moment, et dans quel contexte utilisateur.
Cependant, Les programmes exécutés depuis des supports amovibles ou des partages réseau ne sont pas enregistrés, ce qui peut masquer une partie de l’activité réelle. De plus, les horodatages peuvent présenter un décalage par rapport à l’exécution réelle.
Conclusion
BAM et DAM sont des sources efficaces pour identifier des exécutions récentes sur un système Windows. Bien qu’ils soient limités et incomplets dans certains cas, ils demeurent des artefacts précieux lorsqu’ils sont utilisés en complément d’autres sources d’investigation.
Ces éléments doivent être interprétés avec précaution et corrélés avec d’autres artefacts pour obtenir une vision fiable et complète.
Source : IT-Connect
