Activité du système de fichiers

Au-delà de la preuve qu’un programme a été exécuté, une enquête médico-légale approfondie doit répondre à une seconde question fondamentale : quelle est l’histoire des dossiers concernés ? Ce chapitre passe des artefacts d’exécution aux enregistrements laissés dans le système de fichiers lui-même. Ces artefacts révèlent tout le cycle de vie d’un fichier — de sa création et modification jusqu’à sa suppression finale — et sont la clé pour découvrir les tentatives de dissimulation, de modification ou de destruction des preuves.

Nous explorerons les composants fondamentaux du système de fichiers NTFS, qui agit comme un gardien méticuleux des registres. Des artefacts comme la Master File Table ($MFT), le USN Journal ($UsnJrnl) et le $LogFile offrent une vue de bas niveau inégalée de chaque transaction effectuée sur un disque. Ils sont la source ultime de vérité pour les événements du système de fichiers et sont incroyablement résistants à la falsification.

Ce chapitre abordera :

  • Les bases de données fondamentales du NTFS, telles que le $MFT, qui catalogue chaque fichier, et les Index Attributes ($INDX), qui organisent le contenu des répertoires.

  • Les journaux chronologiques, comme le USN Journal, qui suivent chaque modification, fournissant une preuve définitive de création, suppression et renommage des fichiers.

  • Des journaux spécialisés comme le $LogFile, qui peuvent révéler des preuves de techniques anti-médico-légales avancées telles que le timetomping.

  • Des fonctionnalités système qui préservent les données historiques, y compris la Corbeille de recyclage pour les suppressions standard et les copies d’ombre de volume (VSS), qui agissent comme des « capsules temporelles » pour l’ensemble du système de fichiers.

  • Des structures de données cachées comme les flux de données alternatifs (ADS), qui peuvent être abusées pour dissimuler des charges utiles malveillantes dans des fichiers apparemment inoffensifs.

Maîtriser l’analyse de ces artefacts est ce qui fait qu’un partage d’écran passe d’une simple recherche de fichiers suspects à une véritable enquête médico-légale. C’est dans ces archives que les tentatives de contournement les plus sophistiquées — telles que le remplacement de fichiers, le timepilping et le nettoyage des preuves — sont définitivement révélées.

PrécédentMoniteur d’utilisation des ressources système (SRUM)SuivantTable maîtresse des fichiers

Mis à jour