Sem7

Question 1

Quel est l’objectif de l’analyse de traces numériques ?

Answer 1

Analyser les traces relevées et les combiner afin de les replacer dans leur contexte

Question 2

Quelles sont les 3 étapes de la stratégie analytique?

Answer 2

1. Étude de la demande
2. Prise en compte des supports à analyser
3. Analyse des données:
   
   • générale
   • en lien avec la demande

Question 3

On doit veiller à obtenir un demande comment?

Answer 3

• précise
• réaliste
• dans la limite de ses compétence (technique et juridique)

Question 4

Plus la demande est précise mieux c’est ?

Answer 4

Oui

Question 5

Que faire lors de la prise en compte des supports à analyser?

Answer 5

• vérification de la continuité de la preuve
• vérification de l’adéquation avec la demande
• vérification de l’intégrité physique
• vérification de l’intégrité logique
• copie sur support d’analyse
• prévention contre la contamination

Question 6

Comment vérifier l’adéquation de la demande?

Answer 6

s’assurer qu’on nous a transmis toute les infos nécessaire

Question 7

C’est quoi l’intégrité physique?

Answer 7

S’assurer de l’état physique de l’appareil

Question 8

C’est quoi l’intégrité logique?

Answer 8

Faire un hash, se dédouaner si problème et vérifier ce qu’on nous donne

Question 9

Citer les étapes d’une stratégie d’analyse au regard de la demande ?

Answer 9

1. Exploitation de l’environnement
2. Pré-traitement
3. Recherche des traces du général au particulier
4. Recherche de traces propres à la demande
5. Analyse des traces pertinentes
6. Rapport

Question 10

Quelle info à trouver sur le support analysé?

Answer 10

• type de support
• nbre et nature des partitions
• taille de la partition
• taille de l’espace libre

Question 11

Quelle info trouver lors de la description de l’environnement?

Answer 11

• disque de données ou disque système ?
• quelle version du système?
• date de dernière installation ou màj majeur?
• lister les comptes utilisateurs (base de registres SAM)
• analyser les profils utilisateurs
• logiciels installés (software)
• logiciels exécutés (Prefetch)
• fuseau horaire

Question 12

Les comptes utilisateurs sont dans quelle ruches?

Answer 12

SAM

Question 13

Les logiciels installés sont dans quel ruche?

Answer 13

SOFTWARE

Question 14

les logiciels exécutés sont dans quoi?

Answer 14

Prefetch

Question 15

Lister les fonctionnalités typique pour le software d’analyse “tout en un”

Answer 15

• importer de plusieurs formats d’images disque
• pre-traitement (calcul de hash, indexation)
• parsing de certaines données
• carving
• recherche des fichiers d’entropie importante
• analyse temporelle
• reporting

Question 16

De quel types de données peut on faire du parsing?

Answer 16

• images
• documents
• shellbags
• Prefetch
• historique Internet

Question 17

Pk la recherche de fichiers d’entropie importante?

Answer 17

Possibles documents chiffrés

Question 18

Quel est l’objectif du pré-traitement: hash et élimination de fichiers?

Answer 18

Ne plus afficher les fichiers systèmes “connus”

Question 19

Comment faire le pré-traitement: hash et élimination de fichiers?

Answer 19

On télécharge une liste de hash des fichiers légitimes de Windows et on compare avec les hash des fichiers de l’image d’intérêt

Question 20

Quel est l’objectif de Pré-traitement : indexation?

Answer 20

Accélérer les recherches ultérieures

Question 21

Comment faire l’indexation lors du pre-traitements?

Answer 21

Le système créé un base de données avec le texte (caractères imprimables) de toute l’image

Question 22

À quoi ça sert de rechercher de fichiers par taille?

Answer 22

Si on veut retrouvé une vidéo ça sera plus lourd qu’un fichier.
On peut cherché des containers chiffrés , machines virtuelles

Question 23

L’indexation par suite de caractère permet de rechercher des mots clés?

Answer 23

Vrai

Question 24

À quoi sert de chercher les fichier .Ink?

Answer 24

Document récent, il est créé lorsqu’un document ou un dossier est ouvert. Chaque utilisateurs a un dossier récent

Question 25

Quels info contenus dans le documents recents?

Answer 25

- date/heure : création, modification, dernier accès - taille - volume

Question 26

Quels softwares de visualisation des documents récent (Fichiers.Ink)?

Answer 26

- LECmd.exe - WFA (mitec)

Question 27

À quoi sert Windows Prefetch?

Answer 27

- permet d’accélérer Windows en prechargeant les programmes en fct de leur stat d’utilisation

Question 28

Quelle est la forme de Windows Prefetch?

Answer 28

Nom_executablr-hash.pf

Question 29

Que trouve t’on dans Windows Prefetch?

Answer 29

- nom de l’exécutable - nbre de fois où il a été lancé - date de la dernière exécution - fichiers chargés

Question 30

Citer les outils gratuits pour l’analyse de Prefetch?

Answer 30

- Prefetch Parker/ PECmd (Éric Zimmerman) - WRR (mitec) - Autopsy (Windows Prefetch extractor)

Question 31

C’est quoi un Shellbags?

Answer 31

- données issues de la base de registre

Question 32

Que contient un Shellbags?

Answer 32

Des infos sur les paramètres d’affichages de différents dossiers par les utilisateurs (style d’affichage, fond d’écran)

Question 33

Quand est ce que les données Shellbags sont créés

Answer 33

Lors de l’ouverture ou de l’effacement d’un dossier et lors de la visualisation d’un fichier ZIP

Question 34

Le Shellbags donne des indications sur les dates d’accès à quoi?

Answer 34

- un dossier - un support de données externe - un disque réseau

Question 35

Les infos restent accessibles même lorsque le support n’est plus connecté dans les Shellbags?

Answer 35

Vrai

Question 36

C’est quoi JumpList?

Answer 36

Données issues de la base de registre

Question 37

Que contient JumpList?

Answer 37

Des infos sur les applications exécutées en fct des fichiers cible

Question 38

Citer les infos sur les applis exécuté grâce a JumpList?

Answer 38

- chemin d’accès - taille de l’application - date de l’exécution - première installation

Question 39

Où se trouve la corbeille?

Answer 39

- se trouve dans $Recycle.Bin à la racine des volumes logique Slt sur les supports de données non amovibles

Question 40

Le dossier corbeille est propre à chaque utilisateur, que contient t’il?

Answer 40

- le fichier Desktop.ini - date de création - date de modification

Question 41

C’est quoi la d’âge de création de corbeille?

Answer 41

Premier effacement effectué par l’utilisateur

Question 42

C’est quoi la date de modification de la corbeille?

Answer 42

Date à laquelle la corbeille a été vidée

Question 43

Il existe une paire de fichier par fichier efface? Quel nom?

Answer 43

$I et $R

Question 44

C’est quoi $R?

Answer 44

$R suivi de 6 caractères aléatoire - le fichier original - extension originale du fichier

Question 45

C’est quoi $I?

Answer 45

- fichier avec les infos du fichier original - date et heure de l’effacement - chemin d’accès - taille du fichier

Question 46

Qu’enregistre les journaux d’événement Windows?

Answer 46

Les événements utiles au système d’exploitation ou aux applications

Question 47

Quel extension pour les journaux d’evt Windows?

Answer 47

.evtx

Question 48

Il existe des journaux de l’OS?

Answer 48

Vrai

Question 49

C’est quoi les vignettes?

Answer 49

Base de données contenant les miniatures des images affichées dans les dossiers

Question 50

Les vignettes disparaissent si l’image a été effacée?

Answer 50

Non reste

Question 51

Citer les activités Internet?

Answer 51

- historique web - fichier téléchargé - historiques des recherches web

Question 52

Quel recherche et analyse d’historique web?

Answer 52

Recherche de traces propres à la demande - analyse de traces liées à la consultation d’Internet

Question 53

Où vont les fichiers téléchargés?

Answer 53

Normalement téléchargement sauf si le gars a configuré différemment ou fichier pref.js

Question 54

Que rechercher et analyse des historique des recherches web?

Answer 54

Recherche propres à la demande - analyse de traces à la recherche de mots clés sur un navigateur

Question 55

Quels autre activités peut on analyser?

Answer 55

- Mails - périphérique externes - réglages réseaux Communications - activité temporelle

Question 56

Dans quel ruche ou base de registre peut on analyser des périphériques externes ?

Answer 56

SYSTEM

Question 57

Quel différence entre USB et USBSTOR?

Answer 57

USB : périphérique en général ( souris, clavier) USBSTOR : périphérique de stockage (clé et disque externe)

Question 58

Comment et où et quoi analyser les réglages reseaux?

Answer 58

Analyse des interfaces réseaux (SYSTEM) - carte réseaux (ethernet, wifi) - adresses IP

Question 59

Grâce à quel logiciel il est possible d’analyser rapidement les échanges d’e-mails entre différentes addresses?

Answer 59

Autopsy

Question 60

Comment Autopsy analyse l’activité temporelle?

Answer 60

- une TimeLine permet de visualiser une succession d’evts - il est possible de filtrer les evts d’intérêts