Sem 3 Cours Flashcards
Que devons nous faire après la préservation d’un appareil?
Il est nécessaire d’accéder et d’acquérir le contenu de cet appareil afin de passer l’examen et à l’analyse
Qu’est la première chose à récupérer sur un appareil?
Récupérer la Timezone pour pouvoir interpréter les horodatages par la suite
Qu’est ce que l’acquisition de données?
- c’est le fait d’accéder aux données et d’en faire une copie afin de pouvoir procéder à une future analyse
Quelle phase est celle qui a le plus grandes chances de modifier les données?
L’acquisition des donnees
Sur quoi travailler lors d’analyse?
L’acquisition des données- jamais procéder à l’analyse d’un support en travaillant sur le support original.
Tjrs travailler sur des copies forensiques
Toute les infos présentes sur le disque peut être vue ou traduites sous forme de bits?
Nan
Citer différent types d’acquisition
- hardware (saisie de l’appareil) vs numérique (acquisition des données)
- physique (numérique) vs logique
Citer différent support de stockage
- stockage de données volatiles (ram)
- stockage de données non volatiles ( clé USB)
Qu’est ce qu’une acquisition logique?
- qu’utilise t’on pour copiez les fichiers auxquels on a accès?
- quel problem?
- la machine fonctionne et est connectée comme un utilisateur normal
- utiliser l’explorateur Windows
- les fichiers de l’administrateur et des autres utilisateurs vont manquer
Qu’est-ce qu’une acquisition “système de fichiers”?
Qu’utilise t’on pour copier les fichier?
Quel avantage?
- on dispose d’un accès administrateur
- on utilise l’explorateur Windows
- on est administrateur donc on a accès à tous les fichiers existants dans le système
Qu’est ce que l’acquisition physique?
Qu’utilise t’on pour faire des copie?
Quel inconvénient?
- on a l’accès administrateur
- on utilise des outils dédiés pour fair une copie 1-sur-1 de l’e semble du dispositif
- si le système est crypté, cela n’est pas utile car seuls les fichiers cryptés sont copiés
Mettre l’ordre des 3 types d’acquisition avec du moins au plus de donnés acquise.
Logique > système de fichiers > physique
Plus la données va test longtemps disponible sur le support moins ce support est……
Volatile
Citer des support non volatile
Disque dur
SSD
c’est USB
CD/DVD
Que contient la mémoire vive/ la ram?
Les donnes en cours d’utilisation (volatile)
Pk ne pas éteindre un ordi?
La ram ou mémoire vive peut contenir des mdp en clair, des processus en cours d’utilisation
Citer des outils permettant de faire des captures de la Ram?
- Windows : DumpIT, WINpmem, FTK Imager, Magnet Capture, Redline
- Linux : LINpmem, LiME
- macOS: OSXpmem, MacQuisition
Quels sont les trois familles de support de stockage non volatile?
- magnetiqur
- Flash (NAND)
- Optique
Quels sont les deux types de copies forensiques?
- clone (copie de toute les données du support original sur le support de destination)
- image (copie de toute les données du support oroginal dans un ou plusieurs fichiers, svt appelé image disque ou image forensique )
Que nécessite un clone comment types de copies forensique?
- nécessite un support de destination de capacité égale ou supérieur
- nécessite un support de destination stérile (réécriture avec 0X00
Quels sont les formats principaux des images comme type de copies forensiques?
- fichiers Raw (.raw, .001,.dd)
- Expert Witness Format (.E01)
- AFF4
Que signifie RAW? SHEMA page 17
Une copie identique (1 sur 2) sans modifications, ni Checksum, ni compression
Que trouve t’on dans le format de finchier d’une image E01?
- header
- données entrecoupée de CRCs entre chaque bloc de 64 secteurs suivi d’un footer contenant le hash MD5 de tout les données
