Sem 6 Flashcards
Dans la partie examination que fait on?
L’examen utilise des outils et techniques permettant d’identifier et d’extraire des données tout en assurant leur intégrité
Que permet l’analyse ? Et qu’utilise t’il?
L’analyse utilise les résultats issus de l’examen afin d’en extraire des informations permettant de répondre aux questions du mandat
Quel est la premier étape de l’examen ?
On fait l’environnement
Comment fait on l’environnement d’un disque?
- établir un compréhension générale
- récupérer:
(extraire les éléments d’intérêt pour l’analyse)
(Tracabilité)
Quels sont les questions directrices pour faire l’environnement de l’examen?
- quel système d’exploitation
- quel fuseau horaire
- partition : quel type ? Cbm? Taille? Taille de l’espace libre ?
- niveau de remplissage?
- compté utilisateur? Nom/droit?
- logiciels installé?
Quel est la procédure d’examens des traces numérique?
- étude de la mission
- vérifier l’intégrité des supports numérique
- chercher des traces générale
- chercher des traces liées à la mission
- identifier les éléments d’intérêt
- extraire les fichiers nescessaire à l’analyse
- enregistrer les opérations effectuées
De quoi dépendent les traces présentes sur l’appareil?
L’appareil et de l’OS
L’emplacement des traces dépend du système d’exploitation?
Quel chemin pour Windows et Mac?
Oui
1. Start > Settings > System > about
2. > about this Mac
Citer les logiciels créé pour l’examen et l’a alyse d’un média?
- autopsy / TSK
- i/a/v/r/LEAPP
- registre explorer
- volatilité
- traces internet/ application
C’est quoi autopsy?
Interface graphique
C’est quoi TSK?
The sleuth kit
Analyse des données
