Week 5 (Systèmes d'exploitation)

Question 1

Quelles étapes du processus des activités forensiques cherche-t-on à répondre ?

Answer 1

• l’Examination
• la Documentation

Question 2

Que sont les étapes lors de l’examination d’un support ?

Answer 2

• Étudier la demande: étude du fond et de la forme, faire préciser si besoin
• Vérifier l’intégrité du support numérique: calcul du hash de l’image forensique et comparer avec les hashs fait lors de l’acquisition
• Examiner le support et donc son environnement: examiner la structure logique, les cohérences des données de partionnement et le rôle de chaque partition

Question 3

Que peuvent être les rôles possibles de chaque partition dans un environnement ?

Answer 3

• La partition de démarrage
• La partition de restauration
• Une partition de données
• La partition système

Question 4

Qu’est / que sont les caractéristiques de la partition de démarrage ?

Answer 4

C’est la partition permettant d’assurer le chargement du système d’exploitation

Question 5

Qu’est / que sont les caractéristiques de la partition de réstauration ?

Answer 5

C’est la partition permettant la restauration de la machine à son état d’usine

Question 6

Qu’est / que sont les caractéristiques de la partition de données ?

Answer 6

C’est la/les partitions sur laquelle aucun système d’exploration n’est installé et qui peut contenir des logiciels ou des fichiers exécutables

Question 7

Qu’est / que sont les caractéristiques de la partition système ?

Answer 7

C’est la partition sur laquelle est installée un système d’exploitation

Question 8

Quelles informations peut-on trouver sur la partition système ?

Answer 8

Sur la partition se trouve l’environnement du système qui contient:
- la version du système d’exploitation
- la date d’installation ou de mise à jour majeure du système
- le fuseau horaire
- le nom de l’ordinateur / support
- les contes utilisateurs paramétrés
- les programmes installés / utilisés
- le matériel connecté

Question 9

Pourquoi est-il important de savoir le fuseau horaire du support ?

Answer 9

Afin qu’on puisse parametrer et adapter son logiciel d’examination de traces

Question 10

Pourquoi est-il important de savoir le nom du support ?

Answer 10

Afin de pouvoir voir sur des données réseaux si notre support concerné c’est connecté

Question 11

Qu’est un système d’exploitation ?

Answer 11

Un SE souvent appelé un OS (Operating system) est un ensemble de programmes spécialisé

Question 12

Que fait un OS ?

Answer 12

Il agit comme interface entre l’utilisateur et le matériel informatique plus précisemment

Il dirige l’utilisation des ressources matérielles d’un appareil, notamment:
- le calcul (du processeur central)
- le stockage dans les mémoires (mémoire vive, disque durs)
- la communication vers des périphériques ou via le réseau.

et assure l’éxecution des logiciels applicatifs.

Question 13

Que sont les trois systèmes d’exploitation “majeures” pour les ordinateurs de bureau ?

Answer 13

• Windows
• OS X (MACOS)
• Linux

Question 14

Qu’est le schéma de partitionnement sur tous les OS ?

Answer 14

Le MBR / Le GUID Partition Table

voir semaine 4

Question 15

Que sont les systèmes de fichiers possibles sur un support avec Windows ?

Answer 15

• NTFS
• exFAT
• FAT32

Question 16

Que y’a-t-il sur la partition système Windows ?

Answer 16

• le système de fichiers: NTFS depuis Windows XP (2001). FAT16 or FAT32 pour système antérieurs
• L’arborescence

Question 17

A quoi ressemble l’arborescence sur un système Windows ?

Answer 17

La précense des répertoires:
- PerfLogs
- Program Files
- Program Files (x86) (pour systèmes 64 bit)
- Users
- Windows

Question 18

Où sont stockés les informations sur l’OS installé, le nom de l’ordinateur et le fuseau horaire sur un Ordinateur ?

Answer 18

Elles sont stockés dans la base de registre de Windows:
Windows\System32\config\ (DEFAULT, SAM, SECURITY, SOFTWARE, SYSTEM)

Question 19

Comment peut-on trouvé les programmes installés sur un ordinateur ?

Answer 19

Dans le dossier Programmes Files(x86) et Programme Files

Question 19

Comment peut-on trouver les traces générées par les applications ?

Answer 19

• Dans l’analyse de la base des registres
• ProgramData
• Dans les profils utilisateurs AppData\Local et AppData\Roaming (permet de voir si un programme installé sur un profile a été utilisé par un autre

Les setups wizards laisse aussi des traces

Question 20

Quand a été Mac OS été appelé officiellement Mac OS ?

Answer 20

En 1997

Question 21

Sur quoi est basée Mac OS X ?

Answer 21

Sur Darwin qui une fusion entre NeXTSTEP et FreeBSD.
Cela est basé sur le noyau Mach et sur l’implémentation BSD d’Unix
Donc un système basé sur UNIX

Question 22

Qu’est la partition système d’un ordinateur macOS ?

Answer 22

Le système de fichiers HFS,HFS+ ou APFS

Question 23

Qu’est la particularité des volume logiques APFS macOS comparé a Windows ?

Answer 23

les volumes logiques APFS contenu dans le Container APFS ont des tailles dynamiques qui varient selon l’utilisations de Utilisateurs

Question 24

Que sont contenus dans les containers APFS ?

Answer 24

Avant macOS 10.15:
- Macintosh HD (Volume macOS)
- Preboot
- VM
- Recovery

Depuis macOS 10.15 Catalina:
- Macintosh HD (système d’exploitation)
- Macintosh HD - Données (Données des utilisateurs)
- Preboot
- VM
- Recovery

Question 25

A quoi ressemble l’arborescence visible a l’utilisateur dans macOS ?

Answer 25

• Applications
• Bibliothèque
• Système
• Utilisateurs

Question 26

Comment trouver la partition système dans la ligne de commande ?

Answer 26

% diskutil list

Question 27

Ou sont installés les applications sur macOS ?

Answer 27

le répertoire application

Question 28

Comment trouvé la version du système d’exploitation d’un support macOS avec PList

Answer 28

/System/Library/CoreServices/SystemVersion.plist
ou
/Library/Preferences/com.apple.SoftwareUpdate.plist

Question 29

Comment trouver la date d’installation du système d’exploitation ?

Answer 29

/private/var/log/install.log

Question 30

Comment trouver le nom et le modèle de l’ordinateur en question ?

Answer 30

/Library/Preferences/SystemConfiguration/preferences.plist

Question 31

Comment trouver le fuseau horaire de l’ordinateur en question sur macOS ?

Answer 31

/private/etc/localtime

Question 32

Comment trouver les comptes utilisateurs paramétrés en question sur macOS ?

Answer 32

/private/var/db/dslocal/nodes/Default/users/[nom_du_compte].plist

Les infos contenus sont:
- name (le nom du compte)
- realname (nom complet)
- jpegphoto (avatar du compte)
- home (emplacement du répertoire personnel de l’utilisateur)
- ShadowHashData (hash SHA-512 avec sel du mot de passe de l’utilisateur)
- password hint (astuce du mot de passe)
- uid
- generateduid (UUID)
- shell
- gid(Group ID)

Question 33

Comment trouver les traces générées par les applications sur l’ordinateur macOS ?

Answer 33

/Users/[profile_utilisateur]/Library

Dans soit la racine du dossier Library, Applications Support, Caches ou Containers

Pour une application spécifique chercher un répertoire portant le nom de l’application, son éditeur ou le nom de domaine inversé ex pour Chrome: Google, Chrome,com.google.chrome

Question 34

Que sont les distributions principales de Linux ?

Answer 34

• Debian
• SUSE
• Red Hat

Question 35

A quoi ressemble la partition système sur un ordinateur Linux ?

Answer 35

• le système de fichiers: ext, ext2, ext3, ext4, JFS, ReiserFS, XFS, BTrfs
• l’Arborescence

Question 36

A quoi ressemble l’arborescence sur Linux ?

Answer 36

Sur Linux tout est un fichier. Tout est configuré par l’utilisateur au moment de l’installation. Tout répertoire peut être monté dans une partition qui lui est propre

Question 37

Que sont les deux OS principaux sur des téléphones mobiles ?

Answer 37

• Android
• iOS

Question 38

Sur quoi est basé Android ?

Answer 38

Sur un noyau Linux

Question 39

Que sont d’autres systèmes d’exploitation sur d’autres supports ?

Answer 39

• Chrome OS: pour des choses Cloud Based
• NAS: QTS, DSM