Dépannage et détection d’évasion

Les utilisateurs peuvent tenter de désactiver, effacer ou manipuler les données de prélecture pour masquer leurs pistes. La connaissance de ces techniques est essentielle :

  • Prélecture désactivée (Registre) : Le contrôle principal est la valeur DWORD dans le registre à : valeurs communes sont (Désactivé), (Prélecture de lancement d’application activée), (Prélecture de démarrage activée), (Les deux activés - par défaut). Une valeur de trouvée lors d’une vérification est suspecte et indique une désactivation délibérée.EnablePrefetcher HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters 0 1 2 3 0

  • Service SysMain arrêté : Le service (anciennement Superfetch) est responsable de la gestion du Prefetcher. Vérifiez son statut dans un CMD administratif. Si le service ne l’est pas (par exemple, ), la prélecture est inactive. Redémarrer le service peut être nécessaire pour que la journalisation reprenne, mais cela efface aussi certains caches volatils du système, ce qui peut impacter d’autres étapes d’analyse. Découvrir qu’elle est arrêtée sans raison valable est un signal d’alarme.sysmain sc query sysmain STATE RUNNING STOPPED

  • Falsification des permissions (contournement CACLS/ICACLS) : Les attaquants peuvent modifier les permissions de sécurité (ACL) du dossier lui-même pour empêcher le service System ou SysMain d’écrire de nouveaux fichiers ou de mettre à jour ceux existants. Cela peut se faire à l’aide de commandes comme ou . Vérifie l’onglet Sécurité du dossier dans ses propriétés. Des preuves de changements récents de permissions (accorder/refuser l’accès à l’écriture) peuvent souvent être trouvées dans le USN Journal () en recherchant les codes de raison associés au chemin du répertoire.C:\Windows\Prefetch .pf cacls icacls $UsnJrnl SECURITY_CHANGE Prefetch

  • Fichiers de prélecture cachés : Les fichiers individuels peuvent être marqués avec l’attribut « Caché ». Utilisez un CMD administratif pour révéler tout fichier caché dans le répertoire..pf dir /ah C:\Windows\Prefetch

  • Nettoyage des prélectures : Les utilisateurs peuvent simplement supprimer le contenu du dossier. Trouver le dossier vide ou manquant des entrées attendues (comme les fichiers pour , , ou le jeu lui-même) lorsque le service SysMain est en cours d’exécution et que la prélecture est activée dans le registre indique fortement un nettoyage manuel. Le USN Journal () est l’outil principal pour détecter cela, car il enregistre de nombreux événements correspondant à des noms de fichiers survenant autour du moment de la libération.C:\Windows\Prefetch .pf explorer.exe AnyDesk.exe$UsnJrnlFILE_DELETE.pf

PrécédentOutils d’analyseSuivantLastActivityView : agrégation d’artefacts

Mis à jour