Autres processus pertinents
Bien que ce soit souvent des cibles principales, l’analyse d’autres processus peut donner des résultats selon le type de contournement ou de triche :
Moteur de planificateur de tâches (, planning d’hébergement) : Analysez la mémoire pour les chemins, commandes (, ), ou contenus de scripts liés aux tâches planifiées, en particulier si des contournements du planificateur des tâches sont suspectés.
taskhostw.exesvchost.exe<Command><Arguments>SearchIndexer.exe: La mémoire peut contenir des chemins en cache ou des fragments de contenu de fichiers indexés par Windows Search, y compris des fichiers/scripts récemment créés ou exécutés.Processus antivirus (par exemple, pour Windows Defender ou processus antivirus tiers) : Vider ces menaces (nécessite le pilote Kernel Mode) peut parfois révéler des chaînes liées à des menaces détectées (mais peut-être mises en quarantaine, autorisées ou ignorées), ou potentiellement des fragments de code/chaînes issues de triches tentant d’échapper à l’antivirus (AV).
MsMpEng.exeProcessus de jeu (pour Minecraft) : Chercher directement dans la mémoire des processus de jeu des chaînes de triche connues, des noms de classes (pour les cheats Java) ou des noms de modules chargés (pour les DLL injectées) est fondamental. Les schémas spécifiques dépendent beaucoup de la triche recherchée.
javaw.exeProcessus liés aux entrées (, ) : Parfois pertinent lors de l’investigation de macros complexes ou de techniques de manipulation d’entrée.
ctfmon.exeTextInputHost.exe
L’application systématique de recherches de chaînes ciblées dans ces processus clés, guidée par le contexte de l’enquête et la compréhension de la manière dont les triches peuvent interagir avec le système, améliore considérablement l’efficacité du partage manuel d’écran. N’oubliez pas de toujours corréler les résultats entre plusieurs processus et artefacts autant que possible.
Mis à jour