Podcast Beta
Questions and Answers
Quel type de contenu représente un nombre sur 64 bits dans le registre?
Quel outil est utilisé pour capturer la mémoire vive sous Windows?
Quelle est la fonction de l'outil netstat?
Quel type de registre est situé à C:\Windows\system32\config\SOFTWARE?
Signup and view all the answers
Quelle option décrit correctement REG_EXPAND_SZ?
Signup and view all the answers
Quel est l'objectif principal de l'outil OSForensics?
Signup and view all the answers
Quel type de données est représenté par REG_MULTI_SZ?
Signup and view all the answers
Quelle commande permet de lister l'ensemble des connexions réseau actives?
Signup and view all the answers
Quel est le but principal de la méthode OSCAR dans l'analyse forensique ?
Signup and view all the answers
Quelle capacité permet le système de fichiers NTFS par rapport aux autres systèmes ?
Signup and view all the answers
Dans quel registre Windows trouve-t-on les informations sur les types de fichiers ?
Signup and view all the answers
Quel type d'analyse est réalisé sur la mémoire morte ?
Signup and view all the answers
Quel est le rôle principal de la chaîne de custodie dans les enquêtes numériques ?
Signup and view all the answers
Quel est le premier élément du processus de démarrage de Windows ?
Signup and view all the answers
Quel système de fichiers est principalement utilisé pour les systèmes d'exploitation Linux ?
Signup and view all the answers
Quel outil Windows permet d'afficher les informations de registre ?
Signup and view all the answers
Study Notes
Méthodologie OSCAR
- La méthode OSCAR est une approche structurée de l'investigation numérique.
- Elle comprend cinq phases : Obtenir, Stratégiser, Collecter, Analyser et Rendre compte.
- Obtenir : collectez des informations sur la nature du crime, le système d'exploitation et le système de fichiers.
- Stratégiser : définissez une stratégie pour votre processus d'enquête.
- Collecter : collectez des preuves numériques en utilisant des méthodes appropriées et en respectant la chaîne de custody.
- Analyser : examinez en profondeur les données collectées pour trouver des éléments probants.
- Rendre compte : produisez un rapport clair et concis, compréhensible par des personnes non expertes, résumant les conclusions de l'enquête.
Types d'analyse
- Analyse à froid : analyse approfondie des données stockées sur des supports de stockage non volatils (comme les disques durs).
- Analyse à chaud : analyse des données en mémoire vive (RAM) et des processeurs pour capturer l'activité en temps réel.
- Analyse en temps réel : capture du trafic réseau pour comprendre l'activité réseau.
Chaîne de Custody
- La chaîne de custody est un processus critique pour la préservation, la traçabilité et la documentation continue des preuves numériques.
- Elle assure l'intégrité des preuves et permet de démontrer leur authenticité devant un tribunal.
- La Blockchain est un système de stockage et de traçabilité fiable qui peut être utilisé pour maintenir la chaîne de custody.
Windows Forensics
Systèmes de Fichiers
- NTFS : système de fichiers utilisé par les systèmes d'exploitation Windows avant 2012. Il est basé sur la MTF (Master File Table).
- ReFS : système de fichiers introduit dans Windows à partir de 2012, conçu pour améliorer la fiabilité et la performance.
- FAT : système de fichiers utilisé pour les clés USB, disques externes et autres périphériques de stockage amovibles.
- Ext3 et Ext4 : systèmes de fichiers utilisés dans les systèmes d'exploitation Linux.
Avantages de NTFS
- Prise en charge de partitions supérieures à 2 To.
- Possibilité de gérer des fichiers de grande taille.
- Fonctionnalités de sécurité intégrées.
- Vitesse de performance élevée.
La commande ntfsinfo c:
fournit des informations détaillées sur le système de fichiers NTFS sur le lecteur C:.
Le processus de Démarrage
- BIOS Legacy : programme de démarrage hérité qui initialise le système et charge le système d'exploitation.
- Démarrage de Windows : le système d'exploitation Windows est chargé à partir du disque dur.
- Chargement du noyau : le noyau (kernel) de Windows est chargé en mémoire.
- Initialisation du noyau : le noyau initialise les pilotes et les services système.
- Services et session : les services système sont démarrés et la session utilisateur est lancée.
Le Registre Windows
- Le registre Windows est une base de données qui stocke des informations sur le système d'exploitation, la configuration du matériel, les paramètres des utilisateurs et les applications.
Le Registre et ses Sous-Arborescences
- HKCR (HKEY_CLASSES_ROOT) : contient des informations sur les types de fichiers et leurs associations.
- HKCU (HKEY_CURRENT_USER) : stocke les paramètres et préférences de l'utilisateur connecté.
- HKLM (HKEY_LOCAL_MACHINE) : stocke les paramètres système pour tous les utilisateurs.
- HKU (HKEY_USERS) : stocke les paramètres pour tous les utilisateurs, chaque utilisateur ayant son propre dossier.
- HKCC (HKEY_CURRENT_CONFIG) : contient des informations sur la configuration matérielle actuelle.
Le Hive
- Un hive est une partie de la base de registre qui contient des données de configuration et de paramètres pour le système d'exploitation et les applications.
- Les fichiers hive sont localisés dans le répertoire
C:\Windows\system32\config
. - Il existe 5 hives principaux :
- SYSTEM :
C:\Windows\system32\config\SYSTEM
- SOFTWARE :
C:\Windows\system32\config\SOFTWARE
- SECURITY :
C:\Windows\system32\config\SECURITY
- SAM :
C:\Windows\system32\config\SAM
- DEFAULT :
C:\Windows\system32\config\DEFAULT
- SYSTEM :
- Les fichiers hive peuvent être sauvegardés dans le dossier
C:\Windows\system32\config\regback
pour la récupération des données en cas de problème.
Types de Données de Registre
- REG_NONE : Non défini.
- REG_SZ : Chaîne de caractères.
- REG_EXPAND_SZ : Chaîne de caractères faisant référence aux variables d'environnement.
- REG_BINARY : Información binaire affichée en hexadecimal.
- REG_DWORD : Un nombre sur 32 bits (utilisé comme booléen: enabled / disabled).
- REG_DWORD_BIG_ENDIAN : Un dword en format big_endian (premier octet significatif).
- REG_MULTI_SZ: Tableau de chaîne de caractères.
- REG_QWORD : Nombre sur 64 bits.
Outils d'Investigation sur Windows
- Access FTK Imager : capture la mémoire vive d'un système.
- PSlist : récupère des informations sur un système comme le nom de l'OS, la version, l'utilisateur actuel, etc.
- PSinfo : affiche la liste des processus actifs.
- Netstat : affiche les connexions réseau actives.
- PSFile : affiche les fichiers ouverts localement et à distance.
- Recuva : restaure des données supprimées de manière "permanente" (fichiers supprimés marqués comme espace libre par le système d'exploitation).
- TCPView : liste l'ensemble des connexions réseau actives, ce qui peut aider à identifier les backdoors.
- LogonSessions : affiche la liste des sessions actives.
- WirelessKeyView : affiche les clés wifi stockées sur un système.
- WebBrowserPassView : récupère les mots de passe utilisés pour les navigateurs Web.
- OSForensics : fournit des outils pour extraire, examiner et analyser des données numériques, telles que les fichiers supprimés, l'historique de navigation et l'historique des activités.
Outils d'Investigation sur Linux
- Autopsy : permet d'examiner des disques durs et des systèmes de fichiers, d'analyser des données numériques et de collecter des preuves.
- Volatility : extrait et analyse des données à partir d'images de mémoire vive (RAM).
- Binwalk tool : extrait et analyse les composants d'images firmware pour identifier les vulnérabilités ou des données cachées.
Studying That Suits You
Use AI to generate personalized quizzes and flashcards to suit your learning preferences.
Related Documents
Description
Ce quiz explore la méthode OSCAR, une approche essentielle pour mener des enquêtes numériques. Vous apprendrez les cinq phases clés de l'investigation : Obtenir, Stratégiser, Collecter, Analyser et Rendre compte. Mettez vos connaissances à l'épreuve sur les techniques d'analyse à froid et à chaud.