Articles avec le tag « anti-forensique »

• Amcache peut-il être effacé par des attaquants ?

  Oui — un attaquant avec des droits admin peut éditer ou supprimer Amcache.hve, mais le nettoyage est détectable : les Volume Shadow Copies, les journaux de transactions et le propre log de l'appraiser préservent généralement l'état antérieur.

  2026-05-24

• Récupérer la preuve de binaires supprimés depuis Amcache

  Quand un attaquant supprime un binaire, Amcache préserve souvent son hash, son chemin, son éditeur et son heure d'inventaire. Un workflow pratique pour utiliser Amcache afin d'enquêter sur des artefacts effacés.

  2026-05-24