Attributs du fichier (lecture seule, caché, etc.) - Propriétés manipulables

Les fichiers dans NTFS possèdent divers attributs – des drapeaux stockés sous forme de métadonnées qui contrôlent leur comportement, leur visibilité et leur interaction avec le système d’exploitation et les applications. Les attributs courants rencontrés lors des partages d’écran incluent :

  • Lecture seule : Une fois activé, cet attribut tente d’empêcher la modification du contenu du fichier et rend la suppression un peu plus difficile (nécessitant confirmation ou des dérogations spécifiques).

  • Caché: Les fichiers avec cet attribut sont cachés à la vue dans les listes de répertoires par défaut, comme dans l’Explorateur de fichiers ou les commandes de base dans CMD. La visualisation des fichiers cachés nécessite de modifier les paramètres de vue des dossiers (« Afficher les fichiers, dossiers et disques cachés ») ou l’utilisation de commandes spécifiques ().dirdir /ah

  • Système: Marque un fichier comme critique pour le fonctionnement du système d’exploitation. Les fichiers système sont généralement également cachés par défaut. L’Explorer propose un paramètre distinct (« Masquer les fichiers du système d’exploitation protégés ») pour ces cas.

  • Archiver: Principalement utilisé par les logiciels de sauvegarde pour suivre les fichiers modifiés depuis la dernière sauvegarde. C’est moins pertinent pour la détection typique de triche.

  • Non indexé sur le contenu : Exclut le contenu du fichier de l’indexation par la recherche Windows.

  • Temporaire: Marque le fichier pour un éventuel nettoyage par les utilitaires de disque.

  • Compressé / Chiffré : Indique qu’une compression ou un chiffrement au niveau NTFS est appliqué.

Ces attributs peuvent être facilement consultés et modifiés de plusieurs façons :

  • Propriétés de fichiers dans l’Explorateur Windows (Clic droit > Propriétés >onglet Général).

  • Outils en ligne de commande : (classique), , (plus moderne, axé sur les permissions).attribcaclsicacls

  • Programmatiquement via les API Windows.

Dans le contexte du partage d’écran et des contournements, les attributs sont souvent manipulés :

  • L’attribut Caché est couramment utilisé pour dissimuler des fichiers de triche, des dossiers ou des artefacts associés à une découverte facile.

  • L’attribut lecture seule peut être appliqué à des artefacts médico-légaux comme les fichiers de prélecture () pour empêcher le système d’exploitation (service SysMain) de mettre à jour leurs derniers horodatages d’exécution ou leur nombre de runes, « figeant » effectivement l’artefact pour masquer l’activité récente..pf

De manière cruciale, les modifications des attributs de fichier sont généralement enregistrées sous le code de raison. L’analyse du journal pour détecter de tels événements liés à des fichiers suspects ou à des lieux d’artefacts connus peut révéler des tentatives de falsification.$USNJrnlBASIC_INFO_CHANGE

PrécédentFlux de données alternatifs (ADS) - Flux de données cachésSuivantTraces d’exécution et activités récentes

Mis à jour