Je monte une image vierge que je format en NTFS.
Le lecteur D: ne contient aucun dossier/fichier.
Pourtant, ce même lecteur regorge de renseignements.
☛ Bases de l'architecture NTFS
Informations relatives à la racine.
An Access Control List (ACL) is a list of Access Control Entries (ACE)
→ Lire : Access Control Lists
Nous allons nous intéresser quelques instants aux SID.
La suite Microsoft PsTools comprends l'utilitaire PsGetSid qui énumère aisément ce type d'infos.
→ Propriétaire (Owner)
Account for H4X0RK1DZ\S-1-5-21-1606980848-1563985344-1708537768-1003:
User: H4X0RK1DZ\Mickey
→ Membre du groupe (Group)
Account for H4X0RK1DZ\S-1-5-21-1606980848-1563985344-1708537768-1009:
Alias: H4X0RK1DZ\D-TEAM
Pour les fainéants, WMI, ça prends deux commandes:
→ wmic useraccount list brief
→ wmic group list brief
Vous pouvez également mitonner vos scripts via Windows PowerShell.
Il est très important de comprendre les bases de NTFS, les ACLs ainsi que les SIDs.
Dans la pratique ça permet d'identifier et tracer toutes les actions des entités en présence.
Il en était déjà question dans : Comment obtenir un mot de passe Windows via session active ?
Nous aurons l'occasion d'y revenir à plusieurs reprises dans les prochains articles.
Comme à l'habitude, je propose des clés afin d'accéder à des connaissances.
Si vous êtes curieux et motivés, vous progresserez. Bon courage.