Manipulation des attributs (lecture seule)

  • Description: Cette technique consiste à modifier les attributs standard des fichiers (comme lecture seule, caché, système) de fichiers ou dossiers spécifiques afin de gêner la détection ou d’empêcher le bon fonctionnement des mécanismes de journalisation.

  • Mécanisme: Utilise la fonctionnalité standard de Windows :

    • Interface graphique des propriétés du fichier (Clic droit > Propriétés > Coche « Lecture seule » ou « Caché »).

    • Outil en ligne de commande (par exemple, ).attrib attrib +r +h C:\path\to\file

    • Commandes PowerShell ().Set-ItemProperty

  • Pourquoi les tricheurs l’utilisent (contexte de partage d’écran) : L’utilisation malveillante la plus courante dans le partage d’écran consiste à définir l’attribut Lecture seule () sur les fichiers de prélecture () situés dans .+r.pfC:\Windows\Prefetch

    • Contournement de prélecture : Lorsqu’un fichier est marqué comme en lecture seule, le service SysMain est empêché de mettre à jour son contenu (comme le dernier temps d’exécution et le nombre d’exécutions) lors des lancements ultérieurs de l’application correspondante. Cela « fige » effectivement l’entrée de prélecture, faisant apparaître une triche récemment exécutée comme si elle n’avait pas été exécutée depuis la date enregistrée avant la fixation de l’attribut, masquant ainsi une activité récente à l’analyse de prélecture..pf

    • Cacher les fichiers : Définir l’attribut Caché () est également couramment utilisé pour simplement masquer les fichiers de triche ou les dossiers associés des vues par défaut dans l’Explorateur de fichiers.+h

  • Détection:

    • Vérification des attributs : Vérifiez directement les attributs des fichiers suspects (en particulier ceux montrant d’anciens horododatages malgré d’autres preuves d’exécution)..pf

      • Dans l’Explorateur de fichiers (propriétés > générale).

      • Dans l’invite de commande : Utilisez pour lister des fichiers avec l’attribut lecture seule, ou pour les fichiers cachés.dir /ar C:\Windows\Prefetch dir /ah C:\path\

    • Revue USN () : Changer les attributs du fichier (y compris définir Lecture seule ou Caché) génère un événement dans le journal pour le fichier affecté. Trouver des événements récents spécifiquement pour les fichiers est un fort indicateur de falsification de prélecture.$UsnJrnl BASIC_INFO_CHANGE | CLOSEBASIC_INFO_CHANGE.pf

PrécédentModification hexadécimale de fichier (édition hexadécimalienne)SuivantSuspension filetée de service

Mis à jour