Sem8 Flashcards
Pk un enquêteur tente d’interpréter les traces ?
Afin de déterminer si une hypothèse peut être soutenue ou non
Pk les praticiens élaborent des scénarios?
- essayer d’expliquer les preuves dispo
- rechercher des faits contradictoires et prédit
- interpréter les infos dispo pour prendre une décision d’enquête/ investigative
Quels sont les 3 pointe du triangle de Peirce en relation avec Windows?
- connaissance (bien établies) sur le fonctionnement du système d’exploitation et des applications
- traces observée
- activité (hypothétique)
Comment fonctionne l’abduction?
Observer des traces + Connaissance = probable que veinent de telle activité
Se baser sur l’explication la plus probable. Si A entraîne B, un raisonnement à fictif suppose que si A est vrai, alors B est vrai
C’est quoi le raisonnement déductif?
Connaissance + activité hypothétique = on devrait trouver telle trace
L’enqueteur raisonne sur le crime en construisant des hypothèses basées sur des énoncés axiomatique (postulats) sur le crime. Un raisonnement déductif part d’une vérité générale À et en déduit B comme conséquence
C’est quoi le raisonnement inductif?
Connaître Activité + connaître trace = créer connaissance
Raisonné sur le crime en fct de ce que l’on observe comme étant vrai indépendamment de l’affaire. On suppose que B découle de A parce que nous percevons que c’est le cas de manière répétée
Quel raisonnement?
A moins qu’il y ait une raison de penser autrement, la solution la plus simple est la meilleure
Abduction
Nous assumons d’avance de ce que nous essayons de prouver
Quel raisonnement ?
Repose sur l’énoncé initial ( s’il est faux la conclusion peut être fausse également)
Déduction
On se repose sur des cas spécifiques, mais il peut tjrs y avoir des situations inconnues
Quel raisonnement?
Se base sur nos observations (ou sur celles d’autres pairs)
Induction
Si l’échantillon est petit, le raisonnement peut ne pas être exact
Pk il est important d’avoir tjrs des hypothèses alternative?
On peut avoir oublier certaine autre possibilités
Quel raisonnement éliminé les explications non plausible et retient l’explication la plus plausible pour les faits et les traces (limités) disponibles, en tirant des analogies de l’expérience passée ?
Raisonnement abductif
Quel raisonnement met l’explication la plus plausible à l’épreuve des traces observée, éventuellement par une étude plus poussée des faits, avec une attention particulière pour les faits contradictoire (falsification)?
Raisonnement déductif
Quel raisonnement peut également déboucher sur une théorie généralisée à partir de cas maultibme ou d’expériences reproductibles, fournissant ainsi des connaissances nouvellement établies dans les domaines de la SF?
Raisonnement inductif
Quel raisonnement défini de nouvelle connaissance?
Raisonnement inductif
Le raisonnement inductif conduit à une conclusion généralisé probable et certaine?
Non pas certaine
Comment identifier de nouvelles connaissances?
Comparer des répertoire et leur contenu avant et après .
Utiliser l’horodateur et les valeurs des hab des fichiers
Comment trouver les données d’intérêt ?
Extraire les informations des :
- fichiers/ répertoire/ processus Windows
- fichier application
Quels sont les problèmes pour trouver les données d’intérêt?
- ou commencer?
- grande quantité de données/ fichier à analyser -> chronophage
- le bruit de fond rend la découverte de données d’intérêt difficile
- évolution rapide (nouvelle versions des logiciels)
C’est quoi l’opérationnalisation?
Une fois que des nouvelles connaissances ont été générée et sont documentées elles peuvent être utilisées pour répondre à des questions d’enquêtes
Quel raisonnement part d’une théorie, forme une hypothèse, recherche des traces puis cherche la confirmation?
Raisonnement déductif
Si raisonnement déductif on qu’on visite un site web que fait on?
On se demande quelle trace devrait être trouvée
Quel raison commence par un ensemble (incomplet) d’observations et procède à l’explication la plus probable pour cet ensemble?
Raisonnement abductif (hypothèse d’activité)
Pk il reste un incertitude si raisonnement abductif?
- un evt peut générer de nombreuses traces en de nbreux endroits différents
Quels traces possible en raisonnement abductif?
- sites visité
- site à quel date
- historiques de téléchargement
- favoris
- base de registre…
