Week 10: RAM + Analyse Temporelle Flashcards
(23 cards)
Quelles sont les quatre étapes du processus d’investigation numérique selon le NIST ?
- Collection : Rassembler les données pertinentes.
- Examination : Examiner les données pour extraire les informations utiles.
- Analysis : Interpréter les données pour former des conclusions.
- Reporting : Documenter les résultats de l’analyse.
Pourquoi l’analyse de la RAM est-elle cruciale en criminalistique numérique ?
La RAM contient des données volatiles essentielles (processus en cours, mots de passe, fichiers ouverts) qui disparaissent à l’extinction de l’appareil, mais peuvent révéler des activités malveillantes ou des preuves critiques.
Comparez les temps d’accès de la RAM, des HDD et des SSD.
- RAM : ~100 ns (0.1 µs).
- HDD : ~5-10 ms (5000-10000 µs).
- SSD : ~0.1 ms (100 µs).
La RAM est nettement plus rapide et sert de tampon pour le CPU.
Quels types de données peuvent être trouvés dans la RAM ?
- Processus en cours (programmes, malwares).
- Mots de passe et données de connexion.
- Fichiers ouverts et base de registre.
- Presse-papier et sessions web actives.
Qu’est-ce qu’un dump mémoire et comment est-il créé ?
Un instantané de la RAM sauvegardé dans un fichier, généré via des outils comme FTK Imager ou en ligne de commande (ex: pmem). Attention : un dump de 64 Go de RAM produit un fichier de 64 Go.
Citez deux outils pour dumper la mémoire et leurs avantages.
- FTK Imager (GUI) : Facile à utiliser.
- Pmem (CLI) : Léger et scriptable.
Comment Magnet RAM Capture fonctionne-t-il ?
Il capture la mémoire système sans installation, avec options pour segmenter le dump et choisir l’emplacement de sauvegarde.
Où Windows stocke-t-il les dumps de crash mémoire ?
Dans C:\Windows\Memory.dmp. Peut être désactivé via les paramètres système.
Où se trouve le fichier de pagination sous Windows et macOS ?
- Windows : C:\pagefile.sys.
- macOS : /private/var/vm/swapfile.
Quel fichier contient la RAM lors de l’hibernation sous Windows ?
C:\hiberfile.sys. Sous macOS : /private/var/vm/sleepimage.
Qu’est-ce qu’une “super timeline” ?
Une chronologie agrégée d’événements provenant de multiples sources (disque, RAM, logs) pour reconstituer un incident.
Pourquoi regrouper plusieurs sources dans une timeline ?
Pour croiser les données (ex: horodatages de fichiers + connexions USB) et valider des hypothèses.
Distinguez “micro-timeline” et “super timeline”.
- Micro : Ciblée (ex: un seul registre)
- Super : Complète (tous les artefacts d’un système).
Quelles sont les étapes pour créer une timeline ?
- Collecte d’artefacts.
- Combinaison des sources.
- Filtrage.
- Visualisation (ex: avec Timeline Explorer).
Quelles sources peuvent être utilisées pour une timeline ?
Fichiers système, registres, logs d’applications, dumps mémoire, etc.
Que signifient les timestamps MACB ?
- M : Dernière modification.
- A : Dernier accès.
- C : Changement de métadonnées.
- B : Création (“birth”).
Pourquoi inclure un dump mémoire dans une timeline ?
Pour capturer des données volatiles (ex: processus malveillants) absentes des disques.
Comment réduire une timeline volumineuse ?
En ciblant une plage horaire ou des événements spécifiques (ex: autour d’un crash).
Quel est l’avantage du template Excel colorisé pour les timelines ?
Il met en évidence les événements critiques (ex: modifications de fichiers) via un code couleur.
Comment Timeline Explorer améliore-t-il l’analyse ?
Outil interactif pour filtrer, trier et explorer les événements avec des visualisations avancées.
Qu’est-ce que Timesketch ?
Un outil collaboratif open source pour analyser des timelines sur un serveur, idéal pour les enquêtes en équipe.
Quel est le rôle de Plaso dans la création de timelines ?
Automatiser l’agrégation d’événements horodatés à partir de multiples sources (disques, logs, etc.).
Pourquoi utiliser Plaso plutôt que des outils Perl anciens ?
Plaso (Python) est moderne, activement maintenu, et supporte plus de formats de données.
