● 50 entries

Forensique et réponse

$UsnJrnl ($J)Journal des numeros de sequence de mise a jour de NTFS qui enregistre chaque operation du systeme de fichiers et fournit aux forensiques une frise chronologique a haute resolution.
Acquisition de preuvesCollecte défendable de preuves numériques sur des systèmes, des réseaux et des services cloud à l'aide d'outils et de procédures forensiquement éprouvés.
Amcache.hveRuche de registre Windows qui enregistre des metadonnees detaillees (dont un SHA-1) sur chaque executable ayant tourne ou ete present sur le systeme, et qui fournit une preuve d'execution solide sur Windows moderne.
Analyse d'artefactsExamen des traces numériques laissées par les systèmes d'exploitation et les applications afin de reconstruire les actions de l'utilisateur, l'exécution de programmes et le comportement de l'attaquant.
Analyse de chronologieTechnique forensique qui reconstitue la séquence chronologique des événements d'un système en corrélant les horodatages des fichiers, des journaux et d'autres artefacts.
Analyse de malicielÉtude structurée d'un échantillon malveillant pour comprendre son fonctionnement, son origine, ses indicateurs de compromission et son impact sur les systèmes touchés.
Analyse des journauxExamen systématique des journaux système, applicatifs et de sécurité pour détecter, investiguer et reconstituer des événements pertinents pour la sécurité.
Analyse du Registre WindowsExamen forensique des ruches du Registre Windows pour récupérer la configuration, l'activité utilisateur et des preuves d'exécution ou de persistance.
Anti-forensiqueTechniques employées par des attaquants ou des acteurs soucieux de leur vie privée pour entraver, retarder ou faire échouer les investigations numériques.
AutopsyPlateforme open source d'investigation numerique developpee par Brian Carrier et Basis Technology, qui offre une interface graphique pour The Sleuth Kit et un riche ensemble de modules d'analyse.
Bloqueur en écritureOutil matériel ou logiciel autorisant la lecture d'un support de stockage mais empêchant toute écriture susceptible d'altérer les preuves.
Carving de fichiersTechnique forensique qui récupère des fichiers depuis l'espace non alloué ou des données brutes en reconnaissant signatures, en-têtes et pieds de fichier, sans recourir aux métadonnées du système de fichiers.
Cellebrite UFEDFamille de produits de forensique mobile de l'editeur israelien Cellebrite, qui extraient, decodent et analysent les donnees de smartphones, drones, cartes SIM et autres appareils.
Chaîne de possessionTraçabilité chronologique et documentée de chaque personne, lieu et action ayant affecté une preuve, de la saisie jusqu'à son sort final.
dd (image disque brute)Copie plate, bit a bit, d'un peripherique de stockage produite par l'utilitaire Unix dd (ou des outils compatibles), sans compression, metadonnees ni hash par bloc.
DFIR (Investigation numérique et réponse à incident)Discipline combinée qui fusionne l'investigation forensique numérique et la réponse à incident pour détecter, contenir, éradiquer et tirer les leçons des incidents de cybersécurité.
EnCaseEnCase est une gamme de produits commerciaux d'investigation numerique d'OpenText (a l'origine Guidance Software), largement utilisee par les forces de l'ordre et les enqueteurs en entreprise depuis la fin des annees 1990.
Exercice de tableSimulation discursive lors de laquelle les parties prenantes déroulent un incident cyber fictif pour tester plans, rôles, décisions et communication.
EZ Tools d'Eric ZimmermanSuite gratuite d'outils DFIR Windows (CLI et GUI) d'Eric Zimmerman pour parser les artefacts forensiques courants et construire des chronologies.
Fichiers PrefetchFichiers .pf de Windows situes dans C:\Windows\Prefetch qui enregistrent le demarrage des processus et fournissent une preuve forte qu'un executable a tourne sur la machine.
Forensique cloudInvestigation forensique des infrastructures, applications et services SaaS hébergés dans le cloud, fondée sur les API du fournisseur, les journaux d'audit et des ressources éphémères.
Forensique disqueAnalyse des supports de stockage non volatils — HDD, SSD, clés USB — pour récupérer et interpréter les artefacts du système de fichiers, des applications et de l'OS.
Forensique mémoireDiscipline d'acquisition et d'analyse de la RAM volatile d'un système pour révéler processus, connexions réseau, code injecté et artefacts en mémoire.
Forensique mobileAcquisition et analyse forensiques de smartphones, tablettes et wearables pour extraire communications, données applicatives, localisation et autres artefacts.
Forensique réseauCapture, enregistrement et analyse du trafic et des métadonnées réseau pour investiguer des événements de sécurité et reconstruire l'activité d'un attaquant.
Format d'image E01 (EnCase)Format d'image forensique introduit par Guidance Software pour EnCase, qui stocke la copie acquise dans des fichiers segmentes et compresses avec metadonnees et sommes de controle.
Framework VolatilityCadre open source d'analyse forensique de la memoire cree a l'origine par Aaron Walters et la Volatility Foundation, qui permet d'extraire des artefacts numeriques d'images de memoire volatile (RAM).
FTKForensic Toolkit (FTK) est une suite commerciale d'investigation numerique developpee par AccessData et appartenant aujourd'hui a Exterro, utilisee pour acquerir, indexer et analyser des preuves informatiques.
GrayKeyAppliance materielle et logicielle de Grayshift (desormais Magnet Forensics) utilisee par les forces de l'ordre pour deverrouiller et extraire les donnees d'appareils iOS et Android verrouilles.
hiberfil.sysFichier d'hibernation Windows compresse qui stocke un instantane quasi complet de la memoire physique au moment de l'hibernation, donnant un acces forensique a la RAM depuis un systeme eteint.
Imagerie forensiqueCopie bit à bit d'un support de stockage, vérifiée par empreintes cryptographiques, exploitable pour l'analyse et recevable en justice.
Investigation numériqueDiscipline scientifique consistant à identifier, préserver, analyser et documenter les preuves numériques issues d'ordinateurs, de réseaux et d'appareils, de manière juridiquement recevable.
Jump ListsFichiers d'historique par application indexes par AppID Windows, qui memorisent les fichiers et taches recents d'un utilisateur et fournissent une preuve forte d'acces a un fichier via un programme donne.
KAPE (Kroll Artifact Parser and Extractor)Outil de triage Windows edite par Kroll qui collecte des artefacts forensiques sur des systemes vivants ou des images, puis execute des modules de parsing pour livrer une sortie exploitable.
Kit forensiqueTerme generique designant l'ensemble valide de materiel, logiciels et procedures qu'un enqueteur en investigation numerique utilise pour acquerir, preserver et analyser des preuves.
Magnet AXIOMPlateforme DFIR commerciale de Magnet Forensics qui ingere des disques, des sources mobiles et cloud, parse les artefacts et les presente dans une interface unifiee de revue.
MFT (Master File Table)Structure de metadonnees centrale de NTFS qui stocke un enregistrement de 1024 octets par fichier ou repertoire du volume et constitue la base de l'analyse forensique du systeme de fichiers Windows.
Ordre de volatilitePriorite d'acquisition definie par la RFC 3227 imposant aux intervenants forensiques de collecter d'abord les preuves les plus ephemeres avant qu'elles ne soient ecrasees ou perdues.
pagefile.sysFichier d'echange de memoire virtuelle de Windows sur le volume systeme ; peut contenir des fragments de memoire de processus, identifiants, cles, lignes de commande et charges utiles dechiffrees.
Plan de réponse à incidentDocument approuvé décrivant comment l'organisation se prépare, détecte, contient, éradique, restaure et tire les leçons d'un incident cyber.
PlasoOutil Python open source cree par Kristinn Gudjonsson qui extrait automatiquement les horodatages de nombreuses sources pour construire une 'super timeline' forensique.
Préparation à l'investigationCapacité préparée d'une organisation à collecter, préserver et analyser des preuves numériques avec un impact minimal lors d'un incident ou d'une affaire juridique.
Préservation des preuvesDiscipline forensique qui protège les preuves numériques de toute altération, perte ou contamination afin de garantir leur recevabilité et leur fiabilité durant l'enquête.
Réponse à incidentProcessus organisé permettant de préparer, détecter, analyser, contenir, éradiquer puis récupérer suite à un incident de cybersécurité, en capitalisant sur les leçons apprises.
Rétro-ingénierieProcessus de désassemblage et d'analyse d'un logiciel compilé, d'un firmware ou d'un matériel pour reconstituer sa conception, son comportement et son fonctionnement interne.
ShellbagsCles de registre qui stockent les preferences d'affichage par utilisateur de l'Explorateur Windows et servent de preuve qu'un utilisateur a ouvert un dossier specifique, y compris des chemins amovibles ou reseau.
Shimcache (AppCompatCache)Valeur du registre Windows qui trace des metadonnees d'executables pour les controles de compatibilite ; historiquement utilisee comme preuve d'execution, avec d'importantes nuances d'interpretation.
StéganalyseDiscipline forensique consistant à détecter, et si possible extraire, des informations dissimulées dans des fichiers apparemment anodins par stéganographie.
The Sleuth KitBibliotheque open source et ensemble d'outils en ligne de commande pour l'analyse bas niveau d'images disque et de systemes de fichiers, maintenus par Brian Carrier.
Verification d'empreinte forensiquePratique consistant a calculer et comparer des empreintes cryptographiques (generalement MD5 et SHA-256) des images forensiques et des supports sources pour prouver l'integrite des preuves.