Anti-Forensics — Effacement de traces

Évasion DFIR

Techniques d'anti-forensics

# Effacement de logs Windows
wevtutil cl Security
wevtutil cl System
wevtutil cl Application

# PowerShell : effacer l historique
Clear-History
Remove-Item $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

# Timestomping (modifier les dates de fichiers)
touch -t 202001010000 fichier
# Ou avec Metasploit : timestomp

# Secure delete
shred -vzu -n 3 fichier
srm -r dossier/   # secure-delete

Détection de l'anti-forensics

Logs vidés = présence dans les Event Logs (Event 1102 = Security log effacé) · $STANDARD_INFORMATION plus récent que $FILE_NAME = timestomping · Outils légitimes utilisés anormalement (certutil, powershell -enc...) · Processus sans module parent connu