Utilisation dans le partage d’écran
Search Everything est un outil polyvalent utilisé tout au long d’un partage d’écran pour diverses tâches d’enquête :
Localisation de fichiers spécifiques : Trouvez rapidement les fichiers par nom exact (par exemple, des noms de fichiers connus comme , ) ou par nom partiel en utilisant des jokers (par exemple, , ).
vape.exekurium.dll*clicker*.exeraven?.jarIdentifier l’activité récente (tri et filtrage) :
Trier par date de modification : C’est sans doute la fonction la plus cruciale. Trier toute la vue du système de fichiers par « Date de modification » (en décroissant) amène instantanément les fichiers les plus récemment modifiés ou créés en haut, permettant une identification rapide des éléments potentiellement liés à la session en cours (par exemple, triches téléchargées, archives extraites, journaux ou configurations nouvellement créés). C’est souvent la vue par défaut utilisée par les ScreenSharers.
Filtrer par date : Combinez le tri avec des filtres de dates comme , , pour réduire les résultats à des délais spécifiques.
dm:todaydm:yesterdaydm:last7daysFiltrez par taille : Localiser les fichiers dans des plages de taille spécifiques connues pour être courantes pour certains types de triches (par exemple, ).
size:1mb..20mbFiltrer par extension : Inclure ou exclure des types de fichiers spécifiques (par exemple, , , , pour exclure les fichiers journals).
ext:exeext:dllext:jar!ext:logFiltres combinés : Créez des requêtes puissantes comme (trouver des fichiers modifiés aujourd’hui, pas des fichiers pré-lecture ou journaux, plus de 1 Mo, dans le chemin Téléchargements).
dm:today !ext:pf !ext:log size:>1mb path:downloads
Détection de fichiers cachés ou inhabituels :
Noms Unicode/Obscurcissement : Utilisez des recherches régulières pour trouver des noms de fichiers contenant des caractères Unicode non standards ou potentiellement problématiques : (trouve des caractères non ASCII).
regex:[^\x00-\x7F]Fichiers sans extension : Cherchez spécifiquement des fichiers sans extension, qui peuvent parfois être utilisés pour dissimuler des exécutables lancés via des méthodes comme le WMIC ou des scripts spécifiques. Utilisez le filtre (notez que l’espace est important) potentiellement combiné avec des filtres de taille : .
ext:size:1mb..25mb ext:Fichiers cachés/système : Utilisez des filtres d’attributs comme (caché), (système), ou (les deux).
attrib:hattrib:sattrib:hs
Recherche de contenu (à utiliser avec parcimonie) :
Cherchez dans les fichiers des chaînes de texte spécifiques. C’est très puissant mais nettement plus lent que la recherche de noms de fichiers, car cela nécessite de lire le contenu des fichiers.
Exemple : recherche dans les fichiers de configuration un paramètre de triche spécifique.
content:"cheat_feature_flag" ext:cfgExemple (détection des Exes renommés) : recherche dans des fichiers récents et de taille raisonnable non-exe/dll la chaîne d’en-tête PE standard, révélant potentiellement des exécutables déguisés par de fausses extensions.
dm:today size:1mb..20mb !ext:exe !ext:dll content:"This program cannot be run in DOS mode."
Aperçus de fichiers : Appuyer bascule sur un panneau d’aperçu, permettant une inspection rapide du contenu des types de fichiers courants (texte, images, parfois PDF) sans avoir besoin de les ouvrir dans leur application par défaut, ce qui fait gagner du temps et réduit le risque d’exécution accidentelle.
ALT+PSurveillance du système de fichiers en temps réel : Parce que Search Everything surveille le journal USN en temps réel (si le service est en cours), il agit en fait comme un flux en direct des changements du système de fichiers (créations, suppressions, renommages) survenant pendant son exécution. Cela peut parfois surprendre un utilisateur qui tente de supprimer des fichiers en plein partage d’écran.
Maîtrise de Search Everything Les capacités de filtrage et de tri accélèrent considérablement la localisation des fichiers et la détection des anomalies lors des partages d’écran.
Mis à jour