Week 7: Artefacts Windows 2 Flashcards
(17 cards)
Quel est le but principal de l’analyse des traces Windows dans le contexte de la criminalistique numérique ?
Découvrir des artefacts clés pour les enquêtes sur les intrusions informatiques, le vol de propriété intellectuelle, etc., en interprétant les traces pour valider ou infirmer des hypothèses.
Quels sont les trois types de raisonnement scientifique appliqués en criminalistique numérique ?
- Abductif: Part des traces pour remonter à l’explication la plus probable.
- Déductif: Part d’une théorie générale pour en déduire des cas spécifiques.
- Inductif: Généralise à partir d’observations répétées.
Comment le raisonnement abductif s’applique-t-il à un exemple concret avec un document Word ?
Si un document .docx contient le nom “Acme” (trace) et que Word remplit automatiquement ces informations (connaissance), on peut déduire que le document a été créé chez Acme (activité).
Quels sont les défis du raisonnement déductif en criminalistique numérique ?
l repose sur des postulats initiaux (ex: “Word remplit toujours les métadonnées”). Si ces postulats sont faux ou incomplets (ex: ancienne version du logiciel), la conclusion peut être erronée.
Pourquoi le raisonnement inductif est-il incertain ?
Il généralise à partir d’observations limitées. Par exemple, si on observe que Word remplit les métadonnées dans 10 cas, on peut induire que c’est toujours vrai, mais cela ne couvre pas tous les scénarios.
Quelles méthodes sont utilisées pour identifier de nouvelles connaissances (traces) dans un système Windows ?
- Surveillance du système de fichiers (outils comme Regshot, TextDiff).
- Surveillance des processus (Process Monitor).
- Comparaison de répertoires avant/après une action.
- Analyse des bases de registres.
Comment surveiller les changements dans le système de fichiers pour découvrir de nouvelles traces ?
Utiliser des outils comme Regshot (pour les registres) ou TextDiff (pour les fichiers texte), qui comparent l’état du système avant et après une action.
Pourquoi est-il difficile de trouver des données d’intérêt dans les fichiers d’applications ?
- Les formats peuvent être propriétaires ou chiffrés.
- Le contenu est souvent mal documenté (ex: bases SQLite).
- Les réglages varient selon les versions/logiciels.
Quelles traces un navigateur comme Firefox laisse-t-il après la visite d’un site web ?
- Fichiers Prefetch (timestamp UTC).
- Historique dans des bases SQLite (ex: places.sqlite).
- Métadonnées du système de fichiers.
- Cache et cookies.
Comment les horodatages Windows peuvent-ils aider à une enquête ?
Ils indiquent les dates de création/modification/accès des fichiers. Par exemple, un horodatage de Prefetch en UTC peut révéler l’heure exacte d’exécution d’un programme.
Quels outils permettent d’analyser les bases de données SQLite des navigateurs ?
DB Browser for SQLite pour explorer les tables (ex: “places.sqlite” de Firefox) et visualiser l’historique de navigation, les téléchargements, etc.
Quelles leçons tirer de l’exemple de fraude à la recherche de Dan Ariely (2021) ?
- Les métadonnées (ex: auteur, dates) peuvent être manipulées ou avoir des explications alternatives.
- Il faut croiser plusieurs sources de traces (ex: polices de caractères, statistiques des données) pour valider une hypothèse.
Où trouver des références pour interpréter les traces Windows ?
- Littérature académique et conférences.
- Outils comme le SANS Poster (FOR500), qui recense les artefacts Windows et leur interprétation.
- Documentation technique (ex: Microsoft, NIST).
Pourquoi la criminalistique numérique repose-t-elle souvent sur des raisonnements abductifs ?
Parce que les traces sont souvent incomplètes ou ambiguës. On doit formuler des hypothèses plausibles (ex: “Firefox a visité reddit.com”) tout en envisageant d’autres explications (ex: manipulation des données).
Quels sont les pièges à éviter avec les horodatages Windows ?
- Les temps peuvent être en UTC ou heure locale.
- Certaines actions (ex: copie de fichier) modifient les horodatages de manière contre-intuitive (ex: date de création plus récente que la modification).
Quelles sont les limites des connaissances en criminalistique numérique ?
- Les règles sont souvent générales (pas des lois absolues).
- Les technologies évoluent rapidement (nouvelles versions, outils).
- Les traces peuvent avoir des explications multiples (nécessité d’hypothèses alternatives).
