Défrichement du journal de l’USN

  • Description: Cela implique la suppression complète du journal NTFS Update Sequence Number (USN) (flux dans ) pour un volume spécifique.$J $Extend\$UsnJrnl

  • Mécanisme: Généralement exécuté à l’aide de la commande intégrée avec privilèges administratifs : (remplacer par le disque cible). Cette commande efface complètement le journal de journal existant, forçant Windows à en créer un nouveau vide lors du prochain changement de système de fichiers.fsutil.exe fsutil usn deletejournal /D C: C:

  • Pourquoi les tricheurs l’utilisent : Pour effacer tout l’historique enregistré des créations, suppressions, renommages, modifications d’attributs et modifications de flux sur un volume, aveuglant ainsi les techniques d’analyse qui dépendent fortement du Journal (comme la détection du nettoyage de prélecture, du remplacement de fichiers, du timetomping via la manipulation ADS, etc.).BASIC_INFO_CHANGE

  • Détection: Faire passer le journal de l’USN est une mesure drastique qui laisse des traces claires et détectables :

    • Journaux d’événements : Le fait de supprimer le journal USN déclenche de manière fiable l’ID d’événement 3079 dans le journal d’événements de l’application. Les détails de l’événement spécifient généralement le volume (lettre de lecteur) dont le journal a été supprimé et sont souvent mentionnés comme le processus source. Trouver cet événement est la preuve définitive d’un nettoyage intentionnel du journal.fsutil.exe

    • Analyse des métadonnées de revues : L’examen des fichiers de métadonnées de la revue (et des flux à l’intérieur de ) à l’aide d’outils comme FTK Imager ou MFTECmd révèle un nettoyage :$J $MAX $Extend\$UsnJrnl

      • Temps de modification : Les horodatages « Date Modifié » du flux et du flux seront très récents, coïncidant avec l’heure à laquelle la commande a été exécutée. Comparer ces horodatages est crucial ; Une modification récente des deux confirme l’événement de dégagement.$J $MAX deletejournal

      • Heure de l’entrée la plus ancienne : Des outils comme JournalTrace affichent l’horodatage du plus ancien enregistrement actuellement dans le journal. Si cette entrée la plus ancienne est datée après l’heure de connexion de l’utilisateur ou l’heure de début du jeu (c’est-à-dire très récente), cela suggère fortement que le journal a été effacé lors de l’instance de démarrage/jeu actuelle.

      • Taille: Un journal nouvellement créé (stream) sera très petit comparé à un journal qui accumule des logs.$J

PrécédentNettoyage du registre (BAM, RecentDocs, etc.)SuivantNettoyage/manipulation du journal d’événements

Mis à jour