tuto windows bam dam
  • 17 juillet 2026
  • ComputaSYS
  • 0


Sur un poste Windows, deux clés de registre discrètes conservent la liste des programmes lancés par chaque utilisateur, avec la date de leur dernière exécution. Ces deux clés portent les noms de BAM et DAM. Elles ne sont pas conçues pour l’investigation numérique, mais elles constituent une preuve d’exécution directement attribuable à un compte utilisateur, ce qui en fait un artefact de choix lors d’une réponse à incident.

Qu’est-ce que le BAM et le DAM ?

BAM (Background Activity Moderator) et DAM (Desktop Activity Moderator) sont des mécanismes introduits à partir de Windows 10 et toujours présents dans Windows 11. Leur objectif est de réguler l’activité des applications afin d’optimiser les performances et la consommation énergétique du système.

BAM : se concentre sur les processus en arrière-plan. Le service s’appuie sur le pilote bam.sys et enregistre le chemin des exécutables ainsi que l’horodatage de leur dernière exécution. Ce suivi lui permet de limiter ou de suspendre certaines activités lorsque l’utilisateur n’est plus actif ou après une fermeture de session.

DAM : fonctionne sur un principe similaire, mais s’applique aux applications de bureau. Il est étroitement lié à la veille moderne (Modern Standby), où il restreint l’activité des applications lorsque l’écran est éteint.

Où sont stockées les données BAM et DAM ?

BAM et DAM correspondent à deux chemins de registre. Contrairement aux artefacts précédents de cette série, les données sont réparties par utilisateur : chaque compte dispose de sa propre sous-clé, nommée d’après son SID. Il faut donc connaître le SID de l’utilisateur ciblé, sachant qu’une machine en compte généralement plusieurs.

HKLM\SYSTEM\CurrentControlSet\Services\bam\State\UserSettings\
HKLM\SYSTEM\CurrentControlSet\Services\dam\State\UserSettings\

Contrairement à BAM, le mécanisme DAM n’est pas systématiquement exploitable. Son fonctionnement dépend des fonctionnalités de gestion d’alimentation, en particulier de la veille moderne. Sur de nombreux systèmes, notamment les postes fixes, les machines virtuelles ou les serveurs, la clé est présente mais reste vide, comme dans mon cas.

Ces informations étant associées à un SID, chaque sous-clé correspond à un contexte utilisateur distinct. C’est ce qui permet de reconstruire l’activité par utilisateur sur une même machine.

Sur un système en fonctionnement, la commande suivante affiche le SID du compte courant.

Whoami /user

Analyser le contenu de BAM et DAM

Lecture directe dans le registre

À l’ouverture du chemin de registre, il est déjà possible d’identifier plusieurs informations sur les applications utilisées. On peut par exemple observer ici l’exécution d’une installation de bibliothèque C++, notre outil SysMainView, ainsi que le célèbre BloodHound.

Bien entendu, la lecture brute du registre reste limitée. Il existe des outils permettant d’interpréter ces données de manière plus lisible.

Nous allons utiliser Registry Explorer développé par Eric Zimmerman. L’outil est disponible en téléchargement depuis le site ericzimmerman.github.io/

Une fois téléchargé, exécutez l’outil en mode admin.

À partir de l’interface, chargez une ruche en sélectionnant File – “Live System”, puis ouvrez la ruche SYSTEM du registre.

Une fois chargée, naviguez jusqu’au chemin BAM.

Sélectionnez ensuite le SID de l’utilisateur souhaité, les informations relatives aux applications exécutées apparaissent alors dans le panneau principal.

Il est également possible d’exporter ces données dans différents formats pour faciliter l’analyse.

Avantages et limites

BAM permet de conserver une trace d’exécution d’une application, même si celle-ci a été supprimée par l’utilisateur. Tant que l’entrée est encore présente, il est possible de retrouver son exécution sur une période allant jusqu’à sept jours.

Dans un contexte forensic, BAM et DAM offrent une visibilité intéressante sur l’activité des programmes.

Ils permettent notamment d’identifier quel exécutable a été lancé, à quel moment, et dans quel contexte utilisateur. Cela peut s’avérer particulièrement utile pour mettre en évidence l’exécution d’un logiciel malveillant ou d’une application non autorisée.

Cependant, il est important de noter que ces mécanismes présentent certaines limites. Les programmes exécutés depuis des supports amovibles ou des partages réseau ne sont pas enregistrés dans BAM, ce qui peut masquer une partie de l’activité réelle. De plus, les horodatages ne sont pas toujours parfaitement précis et peuvent présenter un décalage de quelques minutes par rapport à l’exécution réelle.

Conclusion

BAM et DAM constituent des sources simples mais efficaces pour identifier des exécutions récentes sur un système Windows. Bien qu’ils soient limités dans le temps et incomplets dans certains cas, ils restent des artefacts précieux lorsqu’ils sont utilisés en complément d’autres sources d’investigation.

Ces éléments doivent donc être interprétés avec précaution et systématiquement corrélés avec d’autres artefacts tels que Prefetch, UserAssist, ShimCache ou Amcache afin d’obtenir une vision fiable et complète.

Dans le prochain article, nous allons explorer des entrées dynamiques du registre.

FAQ

Qu’est-ce que le BAM (Background Activity Moderator) sous Windows ?

BAM est un service Windows, apparu avec Windows 10 version 1709, qui régule l’activité des processus en arrière-plan. Il enregistre dans le registre le chemin des exécutables lancés et l’horodatage de leur dernière exécution, ce qui en fait une preuve d’exécution utile en investigation numérique.

Quelle est la différence entre BAM et DAM ?

BAM (Background Activity Moderator) suit les processus en arrière-plan, tandis que DAM (Desktop Activity Moderator) s’applique aux applications de bureau et dépend de la veille moderne (Modern Standby). Les deux enregistrent des preuves d’exécution par utilisateur, mais DAM n’est généralement alimenté que sur les appareils utilisant la veille moderne.

Où se trouvent les clés de registre BAM et DAM ?

Sur les versions récentes de Windows, les données se trouvent sous HKLMSYSTEMCurrentControlSetServicesbamStateUserSettings et sous le chemin équivalent pour dam. Sur d’anciennes versions, le segment State est absent. Chaque utilisateur dispose d’une sous-clé nommée d’après son SID.

Combien de temps les entrées BAM sont-elles conservées ?

Les entrées couvrent environ sept jours d’activité. Les entrées de plus de sept jours sont supprimées au démarrage de Windows, et une entrée est également retirée au redémarrage si l’exécutable associé a été effacé. La fenêtre d’analyse est donc glissante et limitée dans le temps.

Pourquoi la clé DAM est-elle souvent vide ?

DAM n’est réellement alimenté que sur les systèmes exploitant la veille moderne (Modern Standby), fréquente sur les portables et tablettes. Sur les postes fixes, les machines virtuelles ou les serveurs, la clé existe le plus souvent mais reste vide.

Comment analyser BAM avec Registry Explorer ?

Lancez Registry Explorer (Eric Zimmerman) en tant qu’administrateur, chargez la ruche SYSTEM via File puis Live System, naviguez jusqu’au chemin BAM et sélectionnez le SID voulu. Les exécutables et leurs horodatages s’affichent alors et peuvent être exportés pour l’analyse.

Consultant et formateur expert Windows Server et Cloud Azure. Chercheur en Cybersécurité.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *