Nettoyage/manipulation du journal d’événements

  • Description: Fait référence aux tentatives de suppression des enregistrements d’événements des journaux d’événements Windows (fichiers) afin de supprimer des preuves d’actions spécifiques (comme les changements d’heure, la manipulation du service, des erreurs potentiellement causées par des triches, des événements de sécurité)..evtx

  • Mécanisme:

    • Interface graphique du Visualiseur d’événements : Faites un clic droit manuel sur un journal spécifique (par exemple, Sécurité, Application, Système) et sélectionnez « Effacer le journal... ».

    • wevtutil.exe Commander: En utilisant l’outil en ligne de commande (par exemple, , ). Nécessite des privilèges administrateurs.wevtutil cl LogName wevtutil cl Security wevtutil cl Application

    • Arrêter le service EventLog : Utiliser ou (nécessite des permissions spécifiques) empêche que de nouveaux événements soient enregistrés pendant qu’ils sont arrêtés.sc stop eventlog net stop eventlog

    • Manipulation avancée : Des méthodes plus sophistiquées peuvent impliquer de manipuler directement des fichiers hors ligne (difficile) ou d’utiliser des outils comme PsExec pour déconnecter des canaux de journalisation spécifiques (également complexes et rares dans des scénarios SS typiques)..evtx

  • Pourquoi les tricheurs l’utilisent : Pour effacer les enregistrements d’actions telles que les changements d’heure système (ID 4616), la suppression du journal USN (ID 3079), les arrêts/démarrages de service (ID 7036), les plantages d’applications (souvent ID 1001/1002), ou éventuellement des événements de sécurité déclenchés par leurs outils.

  • Détection: Windows dispose de mécanismes intégrés pour enregistrer l’action de nettoyage elle-même :

    • Nettoyage du journal de sécurité : Effacer le journal de sécurité génère l’ID d’événement 1102 directement dans le journal de sécurité avant que l’opération de nettoyage ne soit terminée. Trouver cet événement est la preuve définitive que le journal de sécurité a été intentionnellement effacé.

    • Autres débrouilles : Effacer d’autres journaux (Application, Système, Configuration, etc.) génère l’ID d’événement 104 dans le journal système, indiquant quel journal spécifique a été effacé.

    • Service EventLog arrêté : Trouver le service arrêté est très suspect. Le journal système (ID d’événement 7036) devrait également indiquer que le service est entré en état d’arrêt.eventlog sc query eventlog

    • Trous dans les journaux : Des écarts chronologiques inexpliqués dans les journaux d’événements peuvent parfois suggérer un nettoyage ou une manipulation, mais nécessitent une analyse minutieuse pour distinguer du comportement ou de la configuration normale du système.

PrécédentDéfrichement du journal de l’USNSuivantNettoyage des bacs de recyclage

Mis à jour