Mécanisme d’évasion

  1. Création de partitions : En utilisant la gestion de disque () ou des outils en ligne de commande (), l’utilisateur crée une nouvelle partition sur l’un de ses périphériques de stockage physiques. Cette partition peut être formatée en NTFS ou potentiellement avec un système de fichiers moins riche en termes de médecine légale comme FAT32 ou exFAT.diskmgmt.msc diskpart

  2. Confinement des activités : Des fichiers de triche, des outils ou des données temporaires liées à une activité malveillante sont placés, exécutés ou stockés dans cette partition nouvellement créée.

  3. Évitement du journal intime :

    • Si la nouvelle partition est FAT32/exFAT, elle manque intrinsèquement d’un journalisation robuste ($UsnJrnl, $LogFile), ce qui rend difficile le suivi des opérations de fichiers à son sein via les méthodes NTFS standard.

    • Si la nouvelle partition est NTFS, elle disposera de son propre ensemble distinct de métafichiers ($MFT, $UsnJrnl, $LogFile), distinct du volume principal du système (C :). Les activités confinées à cette partition seront enregistrées dans son journal, et non dans le journal du lecteur C :. Un ScreenSharer concentré uniquement sur le journal du C : Drive manquerait ces événements.

  4. Suppression de partitions : Avant ou pendant le partage d’écran, l’utilisateur supprime toute la partition contenant les fichiers ou journaux d’activité compromettants. Cela supprime non seulement les fichiers mais toute la structure du système de fichiers de cette partition, y compris son $MFT spécifique et son journal (si c’était NTFS).

PrécédentManipulation de partitions de disque pour l’évasionSuivantImplications médico-légales

Mis à jour