Prelevement de traces numeriques Flashcards
Sur quoi sont presente les donnes ? donner des ex
sur un support de stockage
ex: cle usb, disque dur, voiture, telephone
Dans quoi sont organises les donnees? donner des ex
systeme de gestion de fichiers
EX: FAT - NTFS (windows) -EXT3 (linux) -HFS (apple)
comment sont reparti les syst. de gestion de fichiers?
chq syst. d’exploitation a son syst. de gestion de fichier
Difference syst de gestion des donnes et support magnetique
support magnetique est le mm pour chq syst. d’eploi
cest la ou on recherche desdonnes
si on recherche sur le syst. d’exploitation, il peut mentir, cacher des valeurs –> car c’est le syst. qui decide de ce qui montre
on va donc direct sur le support magnetique
Def systeme de gestion de fichiers
-concu et adaptes au support magnetique
-tres forte synergie entre le media physique (le disque) et l’organisation des donnees
Def systeme de gestion de fichiers
-concu et adaptes au support magnetique
-tres forte synergie entre le media physique (le disque) et l’organisation des donnees
sur quel support autre que le support magnetique peuvent etre des donnes?
cle USB
-> L’organisation des données n’est pas bien adaptéeau support.
La recherche des traces ne s’opère pasde la même façon
Quels trace sur un support magnetique
-fichiers et repertoire
Def fichiers
ensemble nommé (avec un nom) de données numériques enregistré sur un support de stockage
–> se manipule comme un tout (entite de base)
pq on ne peut pas comparer un classeur vertical a un support magnetique
syst de fichier permet de:
-Créer, retrouver, modifier, supprimer des fichiers
tout ca en faisant attention a que le syst d’exploitation puisse retrouver le fichier demande par l’utilisateur
Quels sont les problemes d’un syst. de fichier ?
le nbr de fichier
la taille ds fichiers
comment est compose le support magnetique?
compose de cases de taille fixe, appeles secteurs ou clusters
Comment peut on faire pour rentrer un fichier plus gros qu’une case
decoupage des fichiers en bouts
-> chq bout range dans une case (cluster) de taille fixe
–> index precis, pr chq fichier, l’ensemble des clusters qu’il occupe
De quoi est compose un support magnetique?
4 parties:
Reserve - Identification du syst. de fichier
FAT - File alocation table - table d’allocation des fichiers - clusters occupe
Repertoire avec les noms de fichiers - index - premiere case qui est occupe par ce fichier
Donnees utilisateur - fichiers
Comment se percoit alors un fichier dans le support magnetique?
Repertoire comprend le nom du fichier et les donnes utilisateur de ce fichier
dans les donnees utilisateurs, on ne peut pas voir les differentes cases qui comprennent le fichier et elles ne sont pas forcement dans l’ordre mais apparaissent dans l’ordre lors de la lecture du fichier
Comment retrouvez le debut d’un fichie lorsqu’on a pas le nom ou l’indication de la premiere case ?
chq fichier debute par un code particulier –> correspond a son type (word, excel, jpg)
–> ne correspond a son extension mais est le “magic number” ou “Header”
Def carving
On parcourt la mémoire, case par case, en essayant de trouver le «header»
= On continue jusqu’au «footer»
Quel est le carving d’un fichier type JPG ?
–Header = FF D8
–Footer= FF D9
Que doit-on supposer lorsqu’on fait du carving?
que les cluesters d’un fichier sont contigus et dans l’ordre
Donner des noms du syst de fichier de windows
NTFS
Donner les caracteristiques de NTFS
*Avantages : taille des disques pratiquement illimitée.
*Clusters entre 512o et 64Ko, en général 4Ko. (petit car une photo serai coupee)
*12% du disque contient la MFT (Master File Table), 88% restant contient les fichiers
*Système journalisé
Combien fait 1Kio (kibioctet) en octet?
1024 octets
A quoi correspond les kilo, mega et giga?
prefixe decimaux
a quoi correspond les kibi, les mebi et les gibi?
prefixe binaires (ou prefixes CEI, IEEE)
Quel etait la premiere methodologie de prelevement? par qui?
Rodney Mc Kemmish
1.Identification des éléments pouvant contenir des éléments de preuve (traces numériques) ;
2.Préservation des traces numériques ;
3.Analyse du contenu ;
4.Rédaction du rapport d’expertise
Comment est la methodologie de prelevement actuel? par qui?
1.Reconnaissance
2.Préservation
3.Examen
4.Documentation
5.Analyse
6.Intégration
7.Interprétation
Expliquer comment se fait la preservation des traces numerique? a quoi cela sert?
-aident a acquerir les elements de preuve en les modifiant le - possible et de maniere a pouvoir etablir leur contexte d’origine
–On procède par copie du support numérique
–La copie s’appelle aussi «acquisition»
–Le résultat de la copie est un fichier appelé «copie image»
Comment se fait le processus de copie
-ne modifie pas le support analysee
-copie image = copie conforme du support
-fichier image peut etre au format: Brut (raw) Encase (E01), AccessData (AD1)
Que doit on faire pres avoir fait un fichier image . Comment peut on faire ca ?
verifier la copie
–> utiliser des fonctions de hashage: MD5 ou SHA1 –> sont des signatures ou des empreintes
Quelles sont els particularite des empreintes numeriques ?
tres grand nombre:
-Empreinte MD5: nbr de 16 octet
-Signature SHA: nbr de 20 octet
impossible de trouver deux objet de mm empreinte –> la + petite difference entraine une tres grande difference d’empreinte
Def steganographie
message cache dans une image –> methode utilise les terroristes (en gen la taille de l’image est du coup plus grosse)
Comment on utilise la signature pour verifier la copie d’un fichier?
on signe le support
on signe la copie
si empreinte du support = empreinte de la copie = copie pire
si empreinte du support avant copie = empreinte du support apres la copie = copie parfaite –> proccessus de copie na pas alterer l’original
A quoi sert aussi la signature ?
*Prouver que les investigations n’ont pas altérées le matériel…et donc la preuve
*Pourrait être une cause d’invalidité de la procédure
*Très utile en cas de contre-expertise
Comment peut on eviter de modifier le support ?
*Utiliser un dispositif matériel (drive lock)
*Utiliser une machine d’expertise préconfigurée
*Utiliser un CD / clé USB bootableforensics
Que doit on faire si cest impossible de ne pas modifier le support?
-autorisation du procureur + description tres complete du proccessus d’analyse
Description meta donnees?
-donnees sur les fichiers
-ne font pas partie du contenu du fichier
-peuvent etre utile
Donner les syt de fichier pour chq syst d’exploitation?
–Windows: FAT, NTFS,…
–Linux: Ext2, ext4,…
–Mac: HFS, HFS+, APFS
A quoi sert un editeur hexadecimal?ex?
a recuperer des fichiers a la main –> autopsy
