Prelevement de traces numeriques

Question 1

Sur quoi sont presente les donnes ? donner des ex

Answer 1

sur un support de stockage
ex: cle usb, disque dur, voiture, telephone

Question 2

Dans quoi sont organises les donnees? donner des ex

Answer 2

systeme de gestion de fichiers
EX: FAT - NTFS (windows) -EXT3 (linux) -HFS (apple)

Question 3

comment sont reparti les syst. de gestion de fichiers?

Answer 3

chq syst. d’exploitation a son syst. de gestion de fichier

Question 4

Difference syst de gestion des donnes et support magnetique

Answer 4

support magnetique est le mm pour chq syst. d’eploi

cest la ou on recherche desdonnes
si on recherche sur le syst. d’exploitation, il peut mentir, cacher des valeurs –> car c’est le syst. qui decide de ce qui montre

on va donc direct sur le support magnetique

Question 5

Def systeme de gestion de fichiers

Answer 5

-concu et adaptes au support magnetique
-tres forte synergie entre le media physique (le disque) et l’organisation des donnees

Question 5

Def systeme de gestion de fichiers

Answer 5

-concu et adaptes au support magnetique
-tres forte synergie entre le media physique (le disque) et l’organisation des donnees

Question 6

sur quel support autre que le support magnetique peuvent etre des donnes?

Answer 6

cle USB
-> L’organisation des données n’est pas bien adaptéeau support.
La recherche des traces ne s’opère pasde la même façon

Question 7

Quels trace sur un support magnetique

Answer 7

-fichiers et repertoire

Question 8

Def fichiers

Answer 8

ensemble nommé (avec un nom) de données numériques enregistré sur un support de stockage
–> se manipule comme un tout (entite de base)

Question 9

pq on ne peut pas comparer un classeur vertical a un support magnetique

Answer 9

syst de fichier permet de:
-Créer, retrouver, modifier, supprimer des fichiers
tout ca en faisant attention a que le syst d’exploitation puisse retrouver le fichier demande par l’utilisateur

Question 10

Quels sont les problemes d’un syst. de fichier ?

Answer 10

le nbr de fichier
la taille ds fichiers

Question 11

comment est compose le support magnetique?

Answer 11

compose de cases de taille fixe, appeles secteurs ou clusters

Question 12

Comment peut on faire pour rentrer un fichier plus gros qu’une case

Answer 12

decoupage des fichiers en bouts
-> chq bout range dans une case (cluster) de taille fixe
–> index precis, pr chq fichier, l’ensemble des clusters qu’il occupe

Question 13

De quoi est compose un support magnetique?

Answer 13

4 parties:
Reserve - Identification du syst. de fichier

FAT - File alocation table - table d’allocation des fichiers - clusters occupe

Repertoire avec les noms de fichiers - index - premiere case qui est occupe par ce fichier

Donnees utilisateur - fichiers

Question 14

Comment se percoit alors un fichier dans le support magnetique?

Answer 14

Repertoire comprend le nom du fichier et les donnes utilisateur de ce fichier
dans les donnees utilisateurs, on ne peut pas voir les differentes cases qui comprennent le fichier et elles ne sont pas forcement dans l’ordre mais apparaissent dans l’ordre lors de la lecture du fichier

Question 15

Comment retrouvez le debut d’un fichie lorsqu’on a pas le nom ou l’indication de la premiere case ?

Answer 15

chq fichier debute par un code particulier –> correspond a son type (word, excel, jpg)
–> ne correspond a son extension mais est le “magic number” ou “Header”

Question 16

Def carving

Answer 16

On parcourt la mémoire, case par case, en essayant de trouver le «header»
= On continue jusqu’au «footer»

Question 17

Quel est le carving d’un fichier type JPG ?

Answer 17

–Header = FF D8
–Footer= FF D9

Question 18

Que doit-on supposer lorsqu’on fait du carving?

Answer 18

que les cluesters d’un fichier sont contigus et dans l’ordre

Question 19

Donner des noms du syst de fichier de windows

Answer 19

NTFS

Question 20

Donner les caracteristiques de NTFS

Answer 20

*Avantages : taille des disques pratiquement illimitée.
*Clusters entre 512o et 64Ko, en général 4Ko. (petit car une photo serai coupee)
*12% du disque contient la MFT (Master File Table), 88% restant contient les fichiers
*Système journalisé

Question 21

Combien fait 1Kio (kibioctet) en octet?

Answer 21

1024 octets

Question 22

A quoi correspond les kilo, mega et giga?

Answer 22

prefixe decimaux

Question 23

a quoi correspond les kibi, les mebi et les gibi?

Answer 23

prefixe binaires (ou prefixes CEI, IEEE)

Question 24

Quel etait la premiere methodologie de prelevement? par qui?

Answer 24

Rodney Mc Kemmish
1.Identification des éléments pouvant contenir des éléments de preuve (traces numériques) ;
2.Préservation des traces numériques ;
3.Analyse du contenu ;
4.Rédaction du rapport d’expertise

Question 25

Comment est la methodologie de prelevement actuel? par qui?

Answer 25

1.Reconnaissance
2.Préservation
3.Examen
4.Documentation
5.Analyse
6.Intégration
7.Interprétation

Question 26

Expliquer comment se fait la preservation des traces numerique? a quoi cela sert?

Answer 26

-aident a acquerir les elements de preuve en les modifiant le - possible et de maniere a pouvoir etablir leur contexte d’origine

–On procède par copie du support numérique
–La copie s’appelle aussi «acquisition»
–Le résultat de la copie est un fichier appelé «copie image»

Question 27

Comment se fait le processus de copie

Answer 27

-ne modifie pas le support analysee
-copie image = copie conforme du support
-fichier image peut etre au format: Brut (raw) Encase (E01), AccessData (AD1)

Question 28

Que doit on faire pres avoir fait un fichier image . Comment peut on faire ca ?

Answer 28

verifier la copie
–> utiliser des fonctions de hashage: MD5 ou SHA1 –> sont des signatures ou des empreintes

Question 29

Quelles sont els particularite des empreintes numeriques ?

Answer 29

tres grand nombre:
-Empreinte MD5: nbr de 16 octet
-Signature SHA: nbr de 20 octet

impossible de trouver deux objet de mm empreinte –> la + petite difference entraine une tres grande difference d’empreinte

Question 30

Def steganographie

Answer 30

message cache dans une image –> methode utilise les terroristes (en gen la taille de l’image est du coup plus grosse)

Question 31

Comment on utilise la signature pour verifier la copie d’un fichier?

Answer 31

on signe le support
on signe la copie

si empreinte du support = empreinte de la copie = copie pire

si empreinte du support avant copie = empreinte du support apres la copie = copie parfaite –> proccessus de copie na pas alterer l’original

Question 32

A quoi sert aussi la signature ?

Answer 32

*Prouver que les investigations n’ont pas altérées le matériel…et donc la preuve
*Pourrait être une cause d’invalidité de la procédure
*Très utile en cas de contre-expertise

Question 33

Comment peut on eviter de modifier le support ?

Answer 33

*Utiliser un dispositif matériel (drive lock)
*Utiliser une machine d’expertise préconfigurée
*Utiliser un CD / clé USB bootableforensics

Question 34

Que doit on faire si cest impossible de ne pas modifier le support?

Answer 34

-autorisation du procureur + description tres complete du proccessus d’analyse

Question 35

Description meta donnees?

Answer 35

-donnees sur les fichiers
-ne font pas partie du contenu du fichier
-peuvent etre utile

Question 36

Donner les syt de fichier pour chq syst d’exploitation?

Answer 36

–Windows: FAT, NTFS,…
–Linux: Ext2, ext4,…
–Mac: HFS, HFS+, APFS

Question 37

A quoi sert un editeur hexadecimal?ex?

Answer 37

a recuperer des fichiers a la main –> autopsy