L'étape offensive finale (si autorisée)

Dans une attaque malveillante réelle, l'attaquant tentera d'effacer toute preuve de sa présence pour retarder la détection, compliquer la forensique et assurer sa persistance.

Note : En hacking éthique, cette phase est souvent strictement interdite à moins que les règles d'engagement ne permettent explicitement de tester la manipulation des journaux.

Techniques de falsification des journaux

1. Édition des journaux : Ouvrir manuellement les journaux texte (ex : /var/log/auth.log sous Linux) et supprimer les entrées correspondant aux heures de connexion ou aux commandes exécutées.
2. Utilisation d'utilitaires : Des outils comme wtmp ou utmp effacent les fichiers d'historique de connexion.
3. Modules Metasploit : Meterpreter possède des modules conçus spécifiquement pour effacer certains journaux d'événements Windows (Sécurité, Système, Application).

Manipulation des horodatages

Les attaquants utilisent souvent des outils comme touch ou des utilitaires spécialisés pour changer les dates de création, de modification et d'accès des fichiers malveillants afin qu'elles correspondent à des fichiers sains existants (technique de Timestomp).