Disques USB externes (FAT32 vs. NTFS) :

Description: Les triches, injecteurs, scripts ou outils associés peuvent être stockés et exécutés directement depuis des clés USB externes ou des disques durs externes. Le choix du système de fichiers sur le disque externe a un impact significatif sur les traces médico-légales laissées derrière.

Mécanisme et Évasion (FAT32 vs. NTFS) :

• NTFS : Le système de fichiers standard et moderne pour les disques internes Windows, également utilisable sur des disques externes. De manière cruciale, les volumes NTFS maintiennent des journaux détaillés de l’activité du système de fichiers, y compris le USN Journal () qui enregistre la création, suppression, renommage et modification de fichiers, et souvent la $LogFile pour les modifications de métadonnées. L’analyse de ces journaux sur une clé USB formatée NTFS peut révéler des preuves de manipulation récente de fichiers, même si le fichier de triche lui-même a été supprimé.$UsnJrnl

• FAT32 (et exFAT) : Les anciens systèmes de fichiers étaient couramment utilisés pour les clés USB en raison de leur compatibilité plus large. Fait crucial, FAT32 et exFAT ne possèdent PAS de système de journalisation comparable à celui de NTFS ou de . Ce manque de journalisation détaillée intégrée rend le suivi des opérations des fichiers beaucoup plus difficile. Un utilisateur pouvait supprimer un fichier de triche d’un disque FAT32 quelques instants avant ou pendant un partage d’écran, laissant ainsi beaucoup moins de traces dans les métadonnées du système de fichiers par rapport à une action identique sur un disque NTFS. Alors que Prefetch ou BAM peuvent toujours enregistrer l’exécution si la triche s’est lancée depuis la clé USB, prouver la suppression depuis le disque FAT32 dépend davantage des outils de récupération de fichiers ou des journaux externes.$UsnJrnl $LogFile

Considérations de détection :

• Identifier les appareils connectés : Utilisez des outils comme USBDeview (Nirsoft), l’outil USB d’Echo, ou consultez les journaux d’événements (Kernel-PnP) et les clés de registre (USBSTOR) pertinents pour identifier les périphériques de stockage USB actuellement et précédemment connectés. Cherchez les appareils connectés/déconnectés peu avant le partage d’écran.

• Vérifier le système de fichiers : Si la clé USB est présente lors du partage d’écran, vérifiez son type de système de fichiers (Propriétés dans l’Explorateur de fichiers ou Gestion de disque). Si c’est FAT32/exFAT et qu’on soupçonne d’héberger des triches, sachez que l’analyse de revues n’est pas possible.

• Analysez le contenu du disque (s’il est présent) : Scannez le disque en utilisant des techniques standard (Chercher tout, inspection manuelle).

• Récupération de fichiers (FAT32/exFAT Focus) : Comme le journaling n’est pas rendu, des outils comme Recuva ou le navigateur de fichiers de FTK Imager deviennent plus importants pour tenter de trouver des preuves de fichiers supprimés sur les disques FAT32/exFAT.

• Journaux d’exécution : Vérifiez le préfetch, le BAM, etc., pour les exécutions provenant de la lettre/chemin de la clé USB.