31/03/2026 –, Amphithéâtre Pasteur
Le but de cette présentation est de montrer une nouvelle méthodologie de collecte et d’analyse d’un artefact forensique Windows bien connu les SRUM : System Ressource Utilization Manager.
Suite à une phase de R&D basée sur l’analyse des fonctionnements internes de Windows et de reverse engineering de plusieurs composants Windows, nous avons découvert et implémenté une nouvelle méthode de récupération des informations SRUM sans directement lire la base de donnée ESE : SRUDB.dat.
Cette recherche a permis de comprendre le fonctionnement d'APIs non documentées et de les utiliser afin de récupérer une importante partie de la base SRUM. Durant cette présentation, l’ensemble des éléments techniques nécessaires à l’utilisation de cette nouvelle méthode de collecte seront partagés.
De plus, cette méthode est utilisée en production depuis plus d’un an, permettant à cette présentation d’ajouter un vrai retour d’expérience sur l’utilisation de cette méthode et des données collectées dans le cadre de mission de réponse sur incident ou de Threat hunting.
Clément Rouault est un expert technique issu du monde de la rétro-ingénierie et de la chasse aux failles de sécurité. Depuis 20218, clément est le cofondateur d'ExaTrack, une société française spécialisée dans la réponse aux incidents et la recherche de compromission. Passionné de l'exploration des mécanismes internes de Windows, il se consacre à la création d'outils permettant d'effectuer des analyses forensiques à large échelle et à la traque des attaquants.