Beaucoup de personnes ne le savent pas, mais dans vos documents (images, documents word, pdf… ) y sont attachés ce que l’on appelle métadonnées.

Ces métadonnées selon le support peuvent être par exemple un nom / prénom (Word, OpenOffice, PDF), des coordonnées GPS (images) ou diverses informations pouvant être utiles lors d’une enquête.

Ces informations peuvent être très dangereuses pour le suspect lambda n’ayant pas de compétences informatiques particulières et n’étant donc pas au courant de la présence de …

Aujourd’hui nous allons revenir sur le fichier MFT que nous avons vu dans le chapitre précédent.

Ce fichier peut être considéré comme  un des points clés du système de fichiers NTFS, dans le sens ou il contient des informations sur tous les fichiers / dossiers présents sur le DD avec entre autres:

•         Nom long du fichier.
•         Nom au format 8.3.
•         Index (numéro d’ordre du fichier).
•         Taille du fichier.
•         Dates et heures de création / modification

…

L’objectif d’aujourd’hui sera d’effectuer une copie bit par bit du disque dur saisi.

C’est cette copie que nous analyserons ensuite, et non directement le média du suspect.

Pour l’acquisition de données nous allons utiliser un LiveCD d’une distrib orienté sécurité / forensique

Téléchargeable gratuitement ici: http://www.e-fense.com/helix/

Mais pour ce que nous allons faire vous pouvez aussi utiliser Backtrack ou un Ubuntu avec les paquets nécessaires .

Je veux vous montrer comment Helix fonctionne car il est utilisé par un bon …

Ce tutorial fait suite à une série de vidéos réalisées pour securityube.

L’objectif de cette série est  d’étudier un cas d’analyse forensique

Je ne suis pas un expert en Forensique, mais je ferais de mon mieux pour partager mon apprentissage

en essayant tout de même de respecter les grandes lignes d’une analyse forensique.

Situation:

En tant que technicien nous avons l’ordinateur d’un suspect à étudier:

L’utilisateur tourne sous Windows 7

Le disque dur n’est pas chiffré, et un …