Week 8: Fichiers Effacés et Carving Flashcards
(18 cards)
Quelles sont les trois étapes nécessaires pour préparer un disque à l’écriture et à la lecture de données ?
- Formatage bas-niveau : Organise le stockage en blocs de taille égale (secteurs).
- Partitionnement : Divise le disque en volumes logiques/partitions.
- Formatage haut-niveau : Crée des systèmes de fichiers sur les partitions (un par partition).
Qu’est-ce qu’un secteur dans la structure d’un disque et quelles sont ses caractéristiques ?
Un secteur est la plus petite unité du disque (taille fixe, généralement 512 ou 4096 octets), définie lors de la fabrication. Il est :
- Écritable.
- Allouable.
- Adressable via le Logical Block Addressing (LBA).
Comment fonctionne l’adressage LBA (Logical Block Addressing) ?
LBA attribue un numéro unique à chaque secteur de manière séquentielle, indépendamment de sa position physique sur le disque. Il commence à 0 et est relatif à un volume logique.
Quelles sont les différences entre les schémas de partitionnement MBR et GPT ?
MBR:
- Limité à 4 partitions primaires.
- Taille : 512 octets (dont 64 octets pour la table de partitions).
- Signature de fin : 0x55AA.
GPT:
- Supporte jusqu’à 128 partitions.
- Inclut un MBR de protection (LBA 0) et une table de partitions principale (LBA 1–33).
- Plus robuste avec des sauvegardes en fin de disque.
Quels sont les quatre sous-types de systèmes de fichiers FAT et leurs particularités ?
- FAT12 : Pour disquettes (limité à 4096 clusters).
- FAT16 : Pour disques amovibles (limité à 65 536 clusters).
- FAT32 : Introduit avec Windows 95 (limité à 2^28 clusters).
- exFAT : Pour systèmes embarqués (limite de taille de fichier supérieure à FAT32).
Quelles sont les 4 régions clés d’un système de fichiers FAT32 ?
- Volume Boot Record (VBR) : Contient les paramètres de démarrage.
- FAT1/FAT2 : Tables d’allocation des clusters (FAT2 est une copie de FAT1).
- Root Directory : Dossier racine avec les métadonnées des fichiers.
- Zone de données : Stocke les fichiers et sous-dossiers.
Que contient une entrée de répertoire FAT32 (32 octets) ?
- Nom du fichier (8 octets) + extension (3 octets).
- Attributs (caché, système, etc.).
- Dates (création, modification, accès).
- Cluster de départ et taille du fichier.
Comment Windows Vista+ gère-t-il les fichiers dans la corbeille ?
- Stockage sous $RECYCLE.BIN<SID> (Security ID de l’utilisateur).
- Crée deux fichiers par suppression : $Rxxxxxx : Contenu original du fichier, $Ixxxxxx : Métadonnées (nom, chemin, taille, date de suppression).
Que se passe-t-il lorsqu’un fichier est supprimé dans un système FAT32 ?
- Le premier caractère du nom de fichier est remplacé par 0xE5.
- Les clusters sont marqués comme libres dans la FAT, mais les données restent jusqu’à écrasement.
Quelles différences entre les fichiers $I avant et après Windows 10 ?
- Avant Win10 : Structure fixe (header, taille, timestamp, nom de 520 octets).
- Depuis Win10 : Ajout d’un champ “File Name Length” (4 octets) avant le nom variable.
Comment analyser un fichier $I avec un éditeur hexadécimal ?
- Offset 0x8 : Taille du fichier (ex: 0xDE350= 910160 octets).
- Offset 0x16 : Timestamp de suppression (convertible en date).
- Offset 0x24 : Longueur du nom (ex: 0xB = 11 caractères pour “F:\dog.jpg”).
Quelles traces persistent après avoir vidé la corbeille ?
- Les entrées de répertoire sont marquées 0xE5 mais non écrasées.
- Les fichiers $R/$I restent jusqu’à écrasement (récupérables via carving).
Qu’est-ce que le “carving” de fichiers et comment fonctionne-t-il ?
Technique pour récupérer des fichiers supprimés en recherchant :
- Headers/Footers (ex: FFD8/FFD9 pour les JPEG).
- Structures FAT (entrées marquées 0xE5).
Outils : Photorec, FTK Imager, Autopsy.
Pourquoi les dossiers supprimés sont-ils traités comme des fichiers en FAT32 ?
Leur entrée dans le répertoire utilise le même format (32 octets), avec l’attribut “subdirectory” activé. La suppression remplace aussi le premier caractère par 0xE5.
Quelles précautions prendre lors de la récupération de fichiers effacés ?
- Travailler sur une copie forensique pour éviter l’écrasement.
- Vérifier les horodatages et clusters pour éviter les faux positifs.
- Croiser les preuves avec d’autres artefacts (logs, registres).
Comment NTFS diffère-t-il de FAT32 pour la suppression de fichiers ?
- NTFS utilise une MFT (Master File Table) avec entrées réutilisables.
- Les métadonnées (noms, dates) peuvent être conservées même après suppression.
Pourquoi les timestamps UTC sont-ils importants dans l’analyse ?
Les fichiers Prefetch/FAT stockent les dates en UTC, nécessitant une conversion pour corréler avec l’heure locale de l’utilisateur.
Quelles hypothèses alternatives envisager face à des métadonnées suspectes ?
- Manipulation manuelle des dates.
- Copie entre systèmes avec fuseaux horaires différents.
- Utilisation d’outils tiers (ex: logiciels de nettoyage).
