Implications médico-légales

Bien que cette méthode tente de masquer l’activité en l’isolant et en retirant le conteneur, les actes de création et de suppression de partitions sont des événements système importants qui peuvent laisser des traces :

• Journaux d’événements : Windows enregistre souvent les opérations de gestion des volumes. Les registres clés à vérifier incluent :

  • Journal système : Recherchez des événements liés au Virtual Disk Service (VDS), à la gestion des partitions ou à l’utilisation. Les identifiants d’événements spécifiques peuvent varier mais sont liés à la création, la mise en forme et la suppression de volumes.diskpart.exe

  • Journal NTFS (Opérationnel) : . L’ID d’événement 4 peut indiquer le montage/démontage du volume. L’identifiant d’événement 501 peut enregistrer la suppression du journal si la partition était NTFS et que son journal a été explicitement supprimé avant la suppression de partitions (ce qui est moins courant).Applications and Services Logs > Microsoft > Windows > Ntfs > Operational

• Outils de gestion de disque : Il suffit d’ouvrir Gestion de disque () pour révéler un espace non alloué où une partition existait récemment.diskmgmt.msc

• Logs SetupAPI : contient parfois des journaux détaillés sur l’installation et la suppression des périphériques, qui peuvent inclure des événements liés au disque/volume.C:\Windows\INF\setupapi.dev.log

• Analyse (avancée) du disque de bas niveau : Des outils médico-légaux spécialisés analysant la structure brute du disque peuvent parfois trouver des résidus ou des métadonnées liés à des tables de partitions supprimées ou à des structures de système de fichiers dans un espace non alloué, mais cela dépasse généralement le partage d’écran standard.

Trouver des entrées récentes du journal d’événements indiquant la création et la suppression de partitions, en particulier en lien avec les temps de jeu ou de partage d’écran, est très suspect.