WorldWide · Forensics

01

Scan AC

Scan forensics en ligne

OUTIL ▾

SCAN FORENSICS

Lire le résultat en détail — noter tout ce qui est marqué suspect | Avec un screen complet du scan

Un résultat "clean" ne veut pas dire que la vérif est terminée — continuer les étapes suivantes

02

Vérification des Historiques

Navigateur, comptes, IA

MANUEL ▾

NAVIGATEURS & COMPTES

Navigateurs

MyActivity Google — voir tout ce qui a été cherché même si l'historique navigateur est vidé

Comptes & Réseaux

Comptes — Vérifiez si pas plusieurs comptes google de connectés

Email — Gmail, Outlook : chercher "cheat", "loader", "key", "invoice", "purchase"

Discord — comptes alt, navigateur, Canary : voir les serveurs rejoints, message privés, implicit

YouTube Studio — voir les vidéos upload en privée (possible cheat ?)

ChatGPT & IA — chercher par mots-clés : "bypass", "inject", "spoof", "fivem", "cheat"

NAVIGATEUR & COMPTES

03

Registre - WorldWideCheck

Vérification registre manuelle + scan automatisé

OUTIL ▾

REGISTRE

Last Key Registre

Ouvrir regedit → aller dans HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit

Permet de voir la dernière clé ouverte dans l'éditeur du registre

LAST KEY

WORLWIDE CHECK

WOLRDWIDECHECK.exe — Ce que le scan vérifie

Génération automatique d’un rapport d’analyse temporaire (Scanner)

Prefetch — si vide = suspect (effacement de traces)

Registres — cherche les mots-clés cheats / loaders dans toutes les clés connues

Mods FiveM suspects — RPF, materials, ai dans les dossiers du jeu

USB branchés actuellement — liste tous les périphériques connectés

Corbeille — contenu + date de dernière activité

Historique de protection Defender — vidé ou non

Système d’expiration intégré

Auto-destruction automatique et suppression des fichiers temporaires après fermeture

WORLDWIDE SCAN

📥 WorldWideCheck.exe

04

Event Viewer — Logs Suspects

Observateur d'événements Windows

MANUEL ▾

EVENT VIEWER

Ouvrir : Win+R → eventvwr.msc

Aller dans Journaux Windows → Sécurité / Système / Application

Aller dans Journaux des applications et des services → Microsoft → Windows → Windows Defender → Operational

Event IDs importants à chercher

Event ID	Journal	Signification	Suspicion
1102	Sécurité	Journal de sécurité effacé	🔴 Très suspect — tentative d'effacement de traces
4688	Sécurité	Processus créé	🔵 Permet de voir les exécutables lancés et détecter des outils suspects
104	Système	Journal système effacé	🔴 Effacement des logs système — possible suppression de traces
7045	Système	Nouveau service installé	🔵 Installation d’un nouveau service Windows — vérifier le nom et le chemin du service
1116	Defender	Malware détecté	🟡 Windows Defender a détecté un fichier ou comportement suspect
1117	Defender	Action effectuée sur malware	🟡 Fichier supprimé, bloqué ou mis en quarantaine par Defender
5001	Defender	Protection temps réel désactivée	🔴 Protection temps réel désactivée manuellement ou par un programme

EVENT VIEWER

05

WorldWide Tools

Outils forensics essentiels pour vérif

OUTIL ▾

Tout les outils sont inclus dans WorldWide Tools — tu peux aussi les télécharger séparément via les liens

Les plus intéressants à vérifier sont : Journal Trace, USBDeview, BrowserDownloadsView, JumpList View

On verra après : LastActivityView [ETAPES 06]

WORLDWIDE TOOLS

Tools — Tout dans WorldWide Tools

🛠️ WorldWide Tools

Regroupement de tout les outils forensic et diagnostic Windows reworked par moi même dans une seule interface afin de facilité les vérifications de traces systèmes

Télécharger

📋 LastActivityView

À lancer EN PREMIER. Affiche tout l'historique récent du PC : .exe lancés, fichiers ouverts, connexions réseau — vue globale instantanée.

Télécharger

🔍 WinPrefetchView

Voir les prefetch en détail — historique des .exe lancés avec timestamp. Si les prefetch sont vides alors WinPrefetchView ne marchera pas, aucun résultat n'en sortira.

Télécharger

🔌 USBDeview

Liste tous les USB et disques déjà branchés sur le PC, même s'ils sont débranchés. Voir si clé USB cachée via option masquage.

Télécharger

JumpList View

Voit les fichiers, dossiers et éléments récemment ouverts par l'utilisateur. (Illisible sans cette app)

Télécharger

🔍 BrowserDownloadsView

Voir tous les téléchargements éffectués dans le navigateur (Chrome, Firefox, Edge).

Télécharger

☣️ WinDefThreatView

Analyse les détections Windows Defender et affiche les menaces identifiées avec un chemin complet du fichier suspect et plus précis que l'historique de protection.

Télécharger

📓 Journal Trace

Logs de tout l'historique des downloads — regarder les téléchargements, les .exe, .pf, .rar.

Télécharger

WorldWide Tools

06

Analyse des Traces

Tools : PreviousFilesRecovery, LastActivityView, RecentFilesView

OUTIL ▾

Outils permettant de retrouver les principales traces laissées par l'utilisateur : fichiers supprimés, fichiers récents, activités Windows et historique complet du système.

Tous compris dans WorldWide Tools

PreviousFilesRecovery

PreviousFilesRecovery — Chemins à utiliser

Mettre *.exe dans Files Wildcard pour cibler uniquement les exécutables & remplacer "username"

Les chemins ci-dessous sont les emplacements les plus pertinents à analyser pour retrouver des exécutables supprimés, loaders et fichiers suspects.

C:\$Recycle.Bin

C:\Users\username\Downloads

C:\Users\username\Documents

C:\Users\username\Videos

▶

Tuto — PreviousFilesRecovery

📥 PreviousFilesRecovery.exe

LastActivityView

LAST ACTIVITY VIEW

À lancer en premier pour obtenir une vue globale de l'activité récente du système.

Regroupe de nombreuses sources Windows : exécutables lancés, fichiers ouverts, connexions réseau et événements système.

Permet d'établir rapidement une timeline des actions effectuées sur le PC.

Pour faciliter la recherche : utiliser le Use Quick Filter dans l'onglet View et chercher .exe. (screen ci-dessous)

SCREEN LAST ACTIVITY VIEW

📥 Last Activity View

Recent Files View

RECENT FILES VIEW

Afficher tous les fichiers récemment ouverts : documents, images, archives, exécutables et téléchargements.

Permet d'identifier des exécutables, loaders, archives ou documents ouverts même s'ils ont ensuite été supprimés.

Complèmentaire avec LastActivityView, moins général.

SCREEN RECENT FILES VIEW

📥 Recent Files View

07

Analyse executable - Cache & Timeline

Tools : AppCombat Cache Parser

AVANCÉ ▾

Ces deux outils sont inclus dans WorldWide Tools — tu peux aussi les télécharger séparément via les liens en bas

APPCOMPATCACHE PARSER

AppCompatCache Parser lit le cache de compatibilité Windows qui enregistre tout .exe lancé sur le PC, même supprimé depuis

Timeline Explorer permet d'ouvrir le CSV généré et de filtrer/trier facilement par date, nom de fichier, chemin

Commande à lancer dans CMD (admin)

AppCompatCacheParser.exe -f C:\Windows\System32\config\SYSTEM --csv C:\Users\%USERNAME%\Desktop --nl

Un fichier CSV sera créé sur le Bureau — l'ouvrir dans Timeline Explorer

Dans Timeline Explorer : filtrer par .exe et téléchargements → trier par date → chercher noms suspects (loader, cheat, spoof, inject…)

▶

Tuto — Analyse Cache & Timeline

TIMELINE EXPLORER

📥 AppCompatCacheParser 📥 Timeline Explorer

08

MfteCmd Tools

Timeline NTFS complète et traces de fichiers supprimés

AVANCÉ ▾

MFTECMD

Analyse la Master File Table (MFT) afin de reconstruire l'activité complète du disque NTFS.

Deux outputs sont générés | $MFT Output est généralement le plus intéressant :

➜ $MFT Output : Détaille tous les fichiers présents ou ayant existé sur le disque (parfois même après un reset du PC).
➜ $J Output : Historique des actions effectuées sur les fichiers (créations, modifications, renommages, suppressions).

Commande à lancer dans CMD (admin)

MFTECmd.exe -f C:\$Extend\$UsnJrnl:$J -m C:\$MFT --csv .

Ouvrir le résultat avec Timeline Explorer pour filtrer, rechercher des exécutables suspects et analyser les timestamps plus facilement.

Chemins de recherche importants

$Recycle.Bin

Downloads / Documents

.pf / .rar / .zip

ai / materials / common

▶

Tutorial — MFTECMD

📥 MFTECMD 📥 Timeline Explorer

09

System Informer

Analyse avancée des processus, services (Memory Dump,strings)

AVANCÉ ▾

SYSTEM INFORMER

System Informer

Options → Disques Devices — disque caché = clé USB déjà branchée - (Screen : Options System Informer)

Explorer.exe → file:/// puis .exe — voir tous les .exe exécutés partout sur le PC - (Screen : Results System Informer)

📥 System Informer.exe

OPTIONS SYSTEM INFORMER

RESULTS SYSTEM INFORMER

10

Detect AC Tools

Tools : Bam Parser ++, Am Cache Parser, Srum Explorer ++

AVANCÉ ▾

Tout fichier ou exécutable suspect identifié vérifier son hash dans BAM, AmCache ou SRUM ou directement sur VirusTotal .

BAM PARSER ++

Analyse la base BAM (Background Activity Moderator) de Windows afin d'identifier les exécutables lancés sur la machine et leurs dernières dates d'exécution.

Vérifier si des programmes suspects ont été exécutés récemment, même lorsqu'ils ne sont plus présents sur le système.

BAM PARSER ++

AM CACHE PARSER ++

AM CACHE PARSER

Analyse la base AmCache de Windows (Illisible sans ce logiciel) qui conserve des informations sur les programmes exécutés sur le système.

Retrouver des exécutables ayant existé sur le PC même après leur suppression.

AM CACHE PARSER ++

SRUM EXPLORER ++

Analyse la base SRUM (System Resource Usage Monitor) utilisée par Windows pour enregistrer l'activité des applications (réseau, batterie, CPU, applications).

Vérifier quelles applications ont consommé des ressources système et réseau sur une période donnée.

SRUM EXPLORER ++

11

PrefetchView++

Signatures + détail complet des prefetch

OPTIONNEL ▾

Pas inclut dans WorldWide Tools — téléchargement via le lien en bas

PREFETCH VIEW++

Voir tous les prefetch en détail — timestamps précis, nombre d'exécutions, chemin complet

Vérifier si les signatures des .exe sont signées — un .exe non signé est plus suspect

Sauter cette étape si prefetch vide

▶

Tuto — PrefetchView++

📥 WinPrefetchView (NirSoft)

12

ALT Account Discord

Voir l'id des comptes Discord associés

OPTIONNEL ▾

ALT ACCOUNT DISCORD

Permet d'identifier les comptes Discord connectés ou ayant été utilisés sur le PC via "LevelDB Viewer"

Récupère les User ID Discord stockés localement afin de détecter d'éventuels comptes alternatifs (ALT)

Analyser les dossiers Discord, Discord Canary et Discord PTB pour maximiser les résultats

Commande à lancer dans CMD - SUIVRE TUTO

DISCORD

LevelDBDumper_x86.exe -d "C:\Users\%USERNAME%\AppData\Roaming\discord\Local Storage\leveldb" -t json -o "C:\Users\%USERNAME%\Desktop\discord_dump"

DISCORD CANARY

LevelDBDumper_x86.exe -d "C:\Users\%USERNAME%\AppData\Roaming\discordcanary\Local Storage\leveldb" -t json -o "C:\Users\%USERNAME%\Desktop\discord_dump"

DISCORD LOOKUP

Link : https://id.rappytv.com/547077191217971210

Chercher dans le Notepad avec Ctrlf + F https://discord.com\u0000\u0001AudioContextSettingsMigrated: | Affiche tous les id déjà connectés sur le PC

LevelDBDumper_x86.exe

TUTO ALT ACCOUNT DISCORD

▶

Tuto — ALL ACCOUNT DISCORD

13

Disk Drill — Fichiers Supprimés

Récupération et visualisation des fichiers effacés

OPTIONNEL ▾

Inclut dans WorldWide Tools — tu peux aussi les télécharger séparément via le lien tout en bas

DISK DRILL

Voir les fichiers supprimés sur le disque — même ceux vidés de la corbeille

Cibler : Corbeille (C:\$Recycle.Bin), Downloads, Documents

Filtrer par .exe dans "Examiner objets trouvés" pour aller vite

Alternative : PreviousFilesRecovery (NirSoft) — même usage, et plus rapide

DISK DRILL PREVIEW

📥 Disk Drill 📥 PreviousFilesRecovery

ACCÈS PRIVÉ

Guide Vérif Forensics