Sem11

Question 1

Que veut dire RAM?

Answer 1

Random access memory

Question 2

C’est quoi la ram?

Answer 2

La mémoire vive

Question 3

Quel avantage de la ram sur le disque dur?

Answer 3

Bcp plus rapide d’accès

Question 4

Quel rôle joue la ram?

Answer 4

Le rôle de tampon entre le CPU et le reste du système

Question 5

La ram est conservée pdt l’extinction de l’appareil?

Answer 5

Nan se vide petit à petit

Question 6

Qu’est ce qui est chargé en RAM?

Answer 6

Tout:
- les processus (y.c malwares, y.c versions portable)
- mdp
- fichiers en cours de traitement
- données de connexion réseau
- base de registre
- presse papier
- info en ligne d’un utilisateur
- compte email en web access
Etc

Question 7

C’est que le dump de la mémoire?

Answer 7

Télécharger la mémoire dans un fichier pour pouvoir l’analyser

Question 8

Quel inconvénient du dump de la mémoire?

Answer 8

• C’est un instantané (Ram évolue dans le temps)
• il peut y avoir de trop gros fichier

Question 9

Comment est créé un dump de la mémoire? Où est récupéré?

Answer 9

À l’aide d’un logiciel
Parfois récupère sur le système cible

Question 10

Quels sont les deux types d’outils qui permettent de créer un dump de la mémoire?

Answer 10

• outils à interface graphique
• outils en ligne de commande

Question 11

Quel est le désavantage d’un interface graphique des outils pour le dump de la mémoire?

Answer 11

Il se charge en mémoire, qui laisse des traces en surplus qui risque d’en effacer d’autre
La ligne de commande prend moins de place

Question 12

Citer des outils du dump de la mémoire avec interface graphique?

Answer 12

• FTK imager
• Magnez RAM capture

Question 13

Citer des outils de création de dump de la mémoire en ligne de commande

Answer 13

• Pmem
• Dumplt

Question 14

Citer les 3 types de la fichiers de la mémoire

Answer 14

• fichiers de vidage mémoire
• fichier de mémoire virtuelle
• fichier d’hibernation

Question 15

Que permet un fichier de vidage mémoire?

Answer 15

Sous Windows, en cas de crash du système, l’état de la ram peut être collecté en vue de permettre une analyse ultérieure

Question 16

Quel type de fichier peut être désactiver?

Answer 16

Fichiers de vidage mémoire

Question 17

Que permet le fichier de mémoire virtuelle?

Answer 17

Fichier ou partition du disque dur servant à étendre la RAM où à la délester de ce qui est peu utilisé
Attention accès plus lent

Question 18

À quoi servent les fichiers d’hibernation?

Answer 18

• fct de mise en veille prolongée
• sert à redémarrer rapidement après la mise en veille prolongée
• contient la RAM

Question 19

Quel logiciel permet d’analyser la mémoire en ligne de commande qui est capable de parser un dump en mémoire ou d’extraire certaines informations?

Answer 19

Volatility (interface graphique)

Question 20

Que ressort volatility?

Answer 20

• type d’OS et version
• liste les processus en cours d’exécution
• affiche processus terminé
• liste fichier en cours de traitement
• liste et dump les ruches contenues dans la mémoire
• localise les hash des mdp utilisateurs
• capture d’écran

Question 21

Pk afficher les processus terminés ?

Answer 21

Puisque dump est instantané, cela permet d’avoir une idée de ce qui s’est passé avant l’acquisition de la mémoire

Question 22

Quel diff entre une reconstitution d’evt et une timeline?

Answer 22

Reconstitution des événements consiste à lister les evts survenus au cours d’un incident afin de comprendre comment il s’est produit

Timeline indique l’affichage d’une liste d’evt dans un ordre particulier

Question 23

Que permet la reconstitution d’evt?

Answer 23

L’analyse chronologique consiste à un enregistrement chronologique des evts afin d’établir une séquence d’evts

• permet de comprendre ce qui s’est passé
• le regroupement de différentes sources permet d’obtenir des résultats plus solides

Question 24

C’est quoi une super timeline?

Answer 24

Le disque complet est traité et analysé. Voire même les evts sont extraits de diverses sources

Question 25

C’est quoi une micro/mini timeline?

Answer 25

Se concentre sur des fichiers/dossiers uniques, par exemple le registre Windows ou les journaux d’evts

Question 26

Quels sont les étapes du flux de travail?

Answer 26

1. Collecte des artefacts 2. Combiner les sources (résultats plus solide) 3. Filtrage/mise en évidence (réduire le nbre d’evt) 4. L’affichage des résultats (grâce à des outil comme Excel ou timeline explorer)

Question 27

Que consiste de collecter des artefact ?

Answer 27

Consiste à rassembler automatiquement des artefacts provenant de différentes sources (système de fichiers, système d’exploitation, base de registre, Journaux d’application)

Question 28

Quels sont les différents type d’horodatage de la collecte des artefacts?

Answer 28

MACB timestamps : - M : heure de changement du contenu des données (dernière Modification) - A: heure du dernier Accès aux données - C: heure de dernière Changement de l’enregistrement $MFT - B: naissance (Birth) - heure de création

Question 29

Lorsqu’on combine les sources, à quoi faire très attention?

Answer 29

À l’heure du système (ptt même quelque min de diff ou le changement d’heure non effectué)

Question 30

Quel but du filtrage/ mise en évidence?

Answer 30

1. Déterminer approximativement quand l’écran s’est produit 2. Identifier les indicateurs initiaux: déterminer par où commencer 3. Rechercher à proximité dans la chronologie et rechercher d’autre indicateurs

Question 31

Grâce à quel outil peut un créer un super timeline ? Et aussi des lignes de temps plus ciblée

Answer 31

Plaso/ Log2timeline Le prédécesseur de plaso etant log2timeline

Question 34

Que peut fournir plaso/log2timeline?

Answer 34

- fourni des infos sur le contenu d’un fichier de stockage - extrait les evts des fichiers individuels - post-traitement des fichiers de stockage plaso. - combiner les fonctionnalités de log2timeline et de psort - exporter le contenue d’un fichier à partir d’une image ou d’une périphérique de stockage en fct de divers critères de filtrage

Question 35

Que permet le post-traitment des fichiers de stockage plaso?

Answer 35

Permet de filtrer, de trier et d’exécuter des analyses automatiques sur le contenu des fichiers de stockage plaso.

Question 36

Quel problème lorsqu’on exécute log2timeline?

Answer 36

Il faut s’assurer d’affecter suffisamment de ressources (cœurs, mémoire) sinon il sera très lent lors de la création de la ligne de temps

Question 37

La création et l’analyse de (super)timeline peuvent prendre du temps mais elle constituent une étape essentielle pour obtenir quoi?

Answer 37

Une compréhension détaillée d’un incident

Question 38

Il existe plusieur outils (open source) capable de générer des chronologies à partir d’une image disque, d’un fichier, d’un fichier journal etc….

Answer 38

Vrai

Question 39

Les chronologies peuvent être fusionnées pour inclure quoi?

Answer 39

Encore plus d’info

Question 40

Pk le filtrage est essentiel à la compréhension ?

Answer 40

Car une seule timeline peut contenir des millions d’entrées (Trouver le pt de départ)