Cet article est la suite logique de Comment préserver les traces en cas d'incident ? ce qui signifie qu'à ce stade de la lecture, vos traces/données doivent normalement déjà être préservées sur un support externe dans des images systèmes. Pour ceux qui souhaitent simplement s'entrainer avant d'être en situation de crise, je vous ai créé une image système miniature wizluv.e01.
Résumé: J'ai préservé les traces en procédant aux acquisitions et cela indifféremment du type de mémoires amovibles de stockage de données - en clair - vous pouvez très bien appliquer la même procédure à des disques durs, des clés USB, des cartes SD, des baladeurs, des tablettes, des smartphones,... jusqu'aux réfrigérateurs "intelligents" (ou pas)Imaginez un coffre-fort dans lequel se trouve une boite. À l'intérieur de cette boite : vos données, posées sur une assiette. Le coffre-fort correspond au format EWF ( les extensions .e01, .e02, ... ) quant à la boite elle correspond au format RAW ( l'extension .dd ) et enfin l'assiette correspond à votre SGF lequel contient vos données. Ah, début de grimaces dans le fond de la salle.. pas de panique :þ
Manipuler en toute sécurité les données préservées est LA priorité. Commencez par créer une machine virtuelle (VM) sous Windows (au choix, XP/Vista/7/8, évitez 8.1) comme expliqué dans l'article Comment installer Linux et Windows ou BSD... sur sa machine ?
Pour l'instant, je vais d'abord commencer par ce qui intéresse la plupart d'entre vous à savoir accéder aux données préservées : les lire, les copier, ...
Comment accéder aux traces / données ?
⚙ Votre machine virtualisée est sous Windows ?
→ Téléchargez & exécutez sur la VM l'utilitaire de PassMark Software,
OSFMount32 si vous êtes en 32 bits OU OSFMount64 en 64 bits.
Sur l'interface, cliquez "Mount New" et sélectionnez l'image à monter "Image file"
Laissez coché "Read-only" drive. Sinon si nécessaire, changez les autres options.
Je monte mon image wizluv.e01
Évidement, vous devrez montez vos propres images systèmes.
L'image système est montée sur la lettre O:
Contenu et propriétés du lecteur.
Une fois les manipulations (ex: copier/coller) terminées.
Il vous suffira de démonter en cliquant sur "Dismount"
Analyses & traitements de l'acquisition
→ Téléchargez & dé-zippez sur la VM le logiciel gratuit FTK Imager Lite
Ci-dessous, l'interface. Menu "File", je clique sur "Add Evidence Item".
Je sélectionne mon image wizluv.e01 de test.
Grâce à l'acquisition, le SGF est entièrement restitué.
Aucun problème donc pour retrouver des données, même effacées !
Récupérer ces fichiers, même effacés, devient très simple.
Nous verrons par la suite qu'il y a bien plus à découvrir en fonction des SGF.
Vous comprenez maintenant l'énorme différence entre sauvegarde et acquisition :þ
