Anti-forensique
Qu'est-ce que Anti-forensique ?
Anti-forensiqueTechniques employées par des attaquants ou des acteurs soucieux de leur vie privée pour entraver, retarder ou faire échouer les investigations numériques.
L'anti-forensique regroupe tout effort délibéré pour cacher, détruire ou fabriquer des preuves numériques afin d'empêcher la reconstruction des faits. Méthodes courantes : effacement sécurisé et wipe de disques, chiffrement intégral, suppression des journaux (wevtutil cl, rotation journalctl), timestomping (manipulation des temps MACB du $MFT), obfuscation (process hollowing, exécution en mémoire), attaques fileless, stéganographie, injection de logs et machines virtuelles jetables. Les LOLBins réduisent encore les traces. Les répondants contrent ces techniques par la forensique mémoire, la collecte de données volatiles, l'expédition redondante vers un SIEM, le stockage WORM et la corroboration multi-sources selon NIST SP 800-86.
● Exemples
- 01
Un intrus efface les journaux Windows avec wevtutil pour supprimer les traces de connexion.
- 02
Timestomping d'un outil déposé afin que ses dates $MFT correspondent à celles de fichiers système légitimes.
● Questions fréquentes
Qu'est-ce que Anti-forensique ?
Techniques employées par des attaquants ou des acteurs soucieux de leur vie privée pour entraver, retarder ou faire échouer les investigations numériques. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie Anti-forensique ?
Techniques employées par des attaquants ou des acteurs soucieux de leur vie privée pour entraver, retarder ou faire échouer les investigations numériques.
Comment se défendre contre Anti-forensique ?
Les défenses contre Anti-forensique combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Anti-forensique ?
Noms alternatifs courants : Contre-forensique, Destruction de preuves.