Sem3 Exo Flashcards
Que permettent principalement les hash de fichier et d’images forensique?
- les hash permettent principalement de vérifier si un fichier ou une image forensique ont été modifiés.
Comment appelle t’on le hash calcule d’un fichier ou d’une image forensique ?
Le hash calculé d’un fichier ou d’une image forensique est ce que l’on appelle une empreinte numérique.
Le hash permet d’assurer l’intégrité d’une preuve numérique tout au long du processus d’investigation?
Vrai
Pourquoi le calcul des hash n’assure jamais l’intégrité d’un fichier/ d’une image à 100%?
Des collisions peuvent exister
Pk le hash n’assure pas (a elle seule) l’intégrité de la preuve numérique contre une modification intentionnelle?
On peut modifier le hash oui modifier dans la documentation numérique
Le hash assure l’intégrité si modification par inadvertance?
Vrai
Les bases peuvent également être utiliser pour détermine si deux documents présents sur des supports différent sont identiques ou non?
Vrai mais attention au collision
Comment sont représenter les hash?
Sous leur forme hexadécimal (base 16 de 0 à F). Chaque groupe de 4 bits est représenté par un nbre de 0 à 9 ou lettre À à F.
Un Hash de 128 bits sont représenté par cbm de caractère?
128/4=32
Quels sont les algorithmes les plus svt utilisés?
- MD5
- SHA1
- SHA256
Quand a été créé MD5?
Quel avantage
Quel inconvénient?
- message Digest 5 (1991)
- largement utilisé (cadre de comparaison d’images pedopornographoque avec des bases de données de hash connus)
- risque de collisions grands
Quand a été créés SHA-1?
Quand est il utilisé ?
- secure hash algorithm (1995)
- svt utilisé de manière conjointe avec le MD5, ce qui permet de diminuer le risque de collisions
Quand est créé SHA-256?
- quelle génération?
- codé sur cbm de bits
Quelle différence avec SHA-512v
- secure hash algorithm (2012)
- 3 eme génération de l’algorithme SHA codé sur 256 bits
SHA- 515 est la troisième génération mais codé sur 512 bits
Si on copie un fichier il garde le même hash?
Oui
Modifier le nom d’un fichier change le hash?
Et modifier son emplacement?
Non car le nom n’est pas stocké dans le fichier.
Non plus
Les hash sont identiques même si les dates de création / modification sont différentes?
Vrai
Si on modifie les métadonnées EXIF d’une image, le hash résultant avant/ après modification sera différent? Pk?
Vrai les metadonees EXIF sont à l’intérieur du fichier
Quelles différence entre une image RAW et une image E01?
- image au format RAW est un fichier contenant simplement l’ensemble des bytes présents sur le support d’origine. Il n’y a pas de compression ni de tracabilite intégrée.
- le format EO1 propose de compresser l’image disque et intègre des mécanismes de vérification d’intégrité et de traçabilité
Compresser des données engendre des pertes de données?
Non
Qu’est la valeurs computed
hash?
Cela correspond au hash du fichier image si le format et RAW ou EO1?
Est le hash recalculé au moment de la vérification à partir des données contenues dans l’image
Correspond au hash si format RAW
Dans le cas d’un fichier au format EO1, le hash est calculé comment?
Sans prendre en compte les metadonnees et les vérifications d’intégrité
Que signifie la valeurs Report hash?
Le hash est recalculé? Si no comment peut on le trouver?
Le hash du support de données original obtenu lors de l’acquisition.
Le hash n’est pas recalculé, FTK va cherché dans le fichier log dont il connaît la structure.
Si le fichier de log est effacé que ce passe t’il avec la valeurs Report hash?
Le report hash n’apparaît plus
