Identifier des comptes alternatifs lors du partage d’écran

Lier un lecteur actuellement en partage d’écran à un compte précédemment banni nécessite un examen attentif des artefacts qui stockent les identités, configurations ou identifiants de machine.

  • Artéfacts de noms d’utilisateur et de comptes dans les fichiers :

    • Fichiers journaux : Les journaux des clients de jeu (journaux de chat), les journaux des lanceurs (par exemple, Lunar Client, Badlion Client), et parfois les journaux de configuration des mods, peuvent contenir des noms d’utilisateur ou des UUID associés aux comptes utilisés sur la machine.latest.log

    • Fichiers de configuration du lanceur : De nombreux lanceurs stockent des informations de compte. Par exemple, les lanceurs personnalisés peuvent avoir des fichiers similaires dans leurs répertoires de données (par exemple, , souvent dans ou dans les répertoires personnels des utilisateurs sur Linux/macOS). L’analyse de ces fichiers peut révéler plusieurs comptes liés à l’appareil.accounts.json .lunarclient/ .feather/ %appdata%

    • Recherches générales de fichiers : Les joueurs laissent parfois des traces de noms d’utilisateur à des endroits inattendus comme des fichiers, des fichiers de script ou des noms de dossiers dans leur profil utilisateur. Chercher dans les annuaires utilisateurs courants (Bureau, Téléchargements, Documents) et dans les dossiers AppData (, ) pour des noms d’utilisateur ou UUID bannis connus peut parfois donner des résultats..txt C:\Users\%username% %appdata% %localappdata%

    • Scripts PowerShell pour les Alts : Des scripts spécialisés peuvent automatiser la recherche de noms d’utilisateur dans des lieux courants. Par exemple, le script PowerShell ADVANCE ALT CHECK disponible sur https://pastebin.com/raw/LBGh2Cyb est conçu spécifiquement pour cela. Il recherche récursivement dans les annuaires utilisateurs des fichiers ayant des extensions courantes de log/texte/config (, , , ) et recherche des occurrences d’un nom d’utilisateur spécifié (qui pourrait être un alt banni connu), générant une liste de fichiers où le nom a été trouvé. Cela peut considérablement accélérer le processus de recherche par rapport à la navigation manuelle..txt .log .json .jar

  • Analyse du registre :

    • Profils utilisateurs : Chaque profil utilisateur Windows possède sa propre ruche de registre (située dans ). L’analyse de ces ruches (surtout si plusieurs profils utilisateur existent ou existaient sur la machine) à l’aide d’outils comme Registry Explorer peut révéler des paramètres spécifiques à chaque utilisateur ou des configurations logicielles potentiellement liées à différents comptes.NTUSER.DAT C:\Users\{username}\

    • Clés logicielles : Les clés de registre associées à des lanceurs de jeux spécifiques, des logiciels associés (comme Discord), ou même des composants Windows peuvent stocker des identifiants de compte, des clés de licence ou un historique d’utilisation qui pourraient corréler différentes activités utilisateur sur la même machine.

  • Système de fichiers et métadonnées :

    • Structures d’annuaires : Les chemins de fichiers contiennent souvent le nom d’utilisateur Windows (par exemple, ). Trouver des fichiers liés au jeu, des configurations de triche ou des journaux pertinents sous plusieurs dossiers de noms d’utilisateur distincts sur le même système est un indicateur fort de l’utilisation des comptes alternatifs.C:\Users\BannedPlayerName\...

    • Propriété du fichier : Bien que moins fréquemment vérifiées, les métadonnées de propriété des fichiers (visibles dans des paramètres de sécurité avancés ou via des outils analysant le $MFT) lient techniquement les fichiers au SID de l’utilisateur qui les a créés. Corréler les SID avec des profils utilisateurs bannis connus peut être informatif, bien que complexe.

  • Liaison par identification matérielle (HWID) :

    • Vérifications côté serveur : De nombreux serveurs maintiennent des bases de données reliant les comptes bannis aux HWIDs collectés lors de sessions de jeu précédentes ou partages d’écran.

    • Intégration des outils SS : Certains outils de partage d’écran (comme Echo) intègrent la capacité de collecter des informations HWID depuis la machine du joueur pendant le scan. Ce HWID collecté peut ensuite être comparé (souvent automatiquement par l’outil ou manuellement par le personnel) à la base de données du serveur des HWID bannis.

    • Détection: Une correspondance entre le HWID de la machine actuelle et un HWID précédemment banni constitue une preuve forte d’évasion du bannissement, même si le joueur utilise un compte de jeu et un profil utilisateur Windows complètement nouveaux. Les ScreenSharers doivent être familiers avec la manière dont leurs outils spécifiques collectent les données HWID et comment leur serveur utilise ces informations pour l’application des bannissements.

PrécédentComprendre l’évasion des interdictionsSuivantRévision des politiques d’interdiction

Mis à jour