La Windows Timeline repose sur le service Plateforme des appareils connectés (CDPSvc - Connected Devices Platform Service). Ce service surveille en permanence les interactions de l’utilisateur avec l’interface graphique, les applications et les navigateurs (spécifiquement Microsoft Edge), en consignant ces interactions localement avant de les synchroniser éventuellement vers le Cloud Microsoft (si l’appareil est connecté à un compte MSA ou Azure AD).
Puisque la base de données trace l’interaction humaine, elle est stockée profondément dans le profil spécifique de l’utilisateur.
C:\Users\<username>\AppData\Local\ConnectedDevicesPlatform\L.<username>\ActivitiesCache.dbActivitiesCache.db-wal et ActivitiesCache.db-shm) pour s’assurer que les activités récemment mises en cache, qui n’ont pas encore été validées dans la base principale, soient correctement analysées.L’ouverture de la base de données dans un visualiseur comme DB Browser for SQLite révèle plusieurs tables. Les équipes DFIR doivent se concentrer sur la liaison des données entre les tables Activity et Activity_PackageId.
Table Activity
la table centrale contenant chaque action journalisée.
Id : un GUID unique pour l’activité.AppId : identifie l’application utilisée (fait le lien avec la table Activity_PackageId).Payload : un imposant bloc JSON (contenant souvent des chaînes Base64) avec les métadonnées exactes du fichier ouvert ou de l’URL visitée.StartTime et EndTime : horodatages Epoch (Unix) définissant la durée exacte de l’interaction.Table Activity_PackageId
agit comme une table de correspondance (lookup table). Elle traduit l’AppId abstrait trouvé dans la table Activity en un chemin d’exécutable réel ou en un nom d’application UWP (ex: C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE).
Des recherches récentes menées par Cellebrite ont mis en évidence deux composants critiques de ActivitiesCache.db qui l’élèvent au-dessus des artefacts d’exécution standards.
PlatformDeviceId)Si l’utilisateur compromis est connecté à un compte Microsoft (MSA), Windows synchronise sa chronologie sur tous ses appareils.
Activity inclut un champ PlatformDeviceId. Si un attaquant compromet les identifiants MSA d’un employé et se connecte depuis une machine externe non autorisée, les actions de l’attaquant (fichiers ouverts, outils lancés) sur sa propre machine pourraient être synchronisées et redescendre dans la base ActivitiesCache.db locale de la victime. Les analystes peuvent différencier l’activité locale de l’activité distante de l’attaquant en comparant les chaînes PlatformDeviceId.Windows 10/11 propose un “Presse-papiers dans le cloud” (Touche Win+V). S’il est activé, le texte copié est suivi par le CDPSvc.
ActivityOperation ou au sein de certains blocs JSON Payload, les analystes peuvent trouver des chaînes encodées en Base64 étiquetées ClipboardPayload. Le décodage de cette chaîne peut révéler exactement ce que l’attaquant a copié-collé pendant sa session — exposant des mots de passe volés, des adresses de portefeuilles de cryptomonnaie, ou des lignes de commande PowerShell malveillantes exécutées dans le terminal.La base de données Timeline fournit le “chaînon manquant” dans les investigations complexes.
.exe malveillant s’exécutant à 14h05, la Timeline peut montrer l’utilisateur ouvrant Microsoft Edge à 14h02, visitant une URL Dropbox spécifique, et téléchargeant une archive .zip à 14h04. L’intégralité du vecteur d’attaque est cartographiée dans un seul artefact.ActivitiesCache.db du serveur pour ce compte administrateur spécifique.Puisque le champ Payload contient du JSON imbriqué et des chaînes codées en Base64, l’examen manuel de la base de données SQLite via des requêtes SQL est inefficace lors d’un triage rapide. Les équipes DFIR s’appuient sur des outils de parsing automatisés.
:: WxTCmd (Windows Timeline Command Line) analyse la base de données principale et les fichiers WAL,:: décode les charges utiles JSON et produit des fichiers CSV triés chronologiquement.
WxTCmd.exe -f "C:\Forensics\Export\ActivitiesCache.db" --csv "C:\Forensics\Results"-- Une requête SQLite de base pour extraire manuellement la chronologie si les outils de parsing échouentSELECT datetime(Activity.StartTime, 'unixepoch') AS StartTime_UTC, Activity_PackageId.PackageName AS Application, Activity.AppActivityId AS Cible_Fichier_ou_URL, Activity.PayloadFROM ActivityLEFT JOIN Activity_PackageId ON Activity.AppId = Activity_PackageId.ActivityIdORDER BY StartTime_UTC DESC;