Application dans le partage d’écran

L’analyse du USN Journal est essentielle pour découvrir des activités cachées et confirmer les opérations des fichiers :

  • Suivi des cycles de vie des fichiers : Voir la séquence exacte des événements pour un fichier : lorsqu’il a été créé, potentiellement renommé (enregistrant à la fois les anciens et nouveaux noms), modifié (modifications de contenu via /, modifications d’attribut via ), puis finalement supprimé (). C’est essentiel pour reconstituer l’historique des fichiers suspects.DATA_OVERWRITE EXTEND BASIC_INFO_CHANGE FILE_DELETE

  • Détection des suppressions : Fournit une preuve définitive de la suppression des fichiers, y compris l’heure exacte. Essentiel pour confirmer la suppression des triches, journaux (), fichiers de prélecture (), macros (, , extensions spécifiques) ou tout autre élément suspect juste avant ou pendant le partage d’écran..log .pf .xml .json

  • Recherche de fichiers renommés : Identifie si un fichier suspect (par exemple, ) a été renommé en quelque chose d’anodin (par exemple, ). Cherchez des paires d’événements et avec des horodatages et FRN correspondants mais des noms de fichiers différents.cheat.exe notes.txt RENAME_OLD_NAME RENAME_NEW_NAME

  • Identification de la manipulation des attributs : Le code de raison est crucial pour détecter :BASIC_INFO_CHANGE

    • Tentatives de Timestomping : La modification des horodatages des fichiers génère cet événement.

    • Contournement des attributs en lecture seule : L’application de l’attribut Lecture seule à des artefacts comme les fichiers de prélecture () pour empêcher les mises à jour d’horodatage déclenche également cet événement. Trouver dans les fichiers est très suspect..pf BASIC_INFO_CHANGE .pf

  • Modification des données de suivi : Des événements comme ou indiquent des modifications au contenu des fichiers, potentiellement corrélés à l’édition hexadécimale ou à l’enregistrement des modifications de configuration dans les cheats.DATA_OVERWRITE DATA_EXTEND

  • Détection de l’utilisation de JnativeHook : Voir des fichiers créés () puis supprimés () dans le répertoire via l’analyse de journal est un indicateur fort de l’exécution de certains autoclickers basés sur Java.JnativeHook*.dll FILE_CREATE FILE_DELETE %temp%

  • Vérification des affirmations / Preuves corroborantes : Utilisez le journal pour confirmer ou réfuter les résultats d’autres outils. Si LastActivityView affiche un accès récent au fichier mais que le fichier a disparu, le journal devrait idéalement afficher l’événement correspondant.FILE_DELETE

PrécédentOutils d’analyse graphiqueSuivantLimitations

Mis à jour