Forensique disque.

La forensique disque est la branche historique de la forensique numérique : elle s'appuie sur des images bit à bit et reconstruit l'activité à partir des systèmes de fichiers (NTFS, APFS, ext4, FAT), journaux, métadonnées, slack et espaces non alloués. Les enquêteurs étudient les enregistrements MFT, le journal USN, $LogFile, le prefetch, les jump lists, les raccourcis, les profils de navigateurs, les journaux d'événements Windows et les shellbags pour bâtir des chronologies. Des outils comme Autopsy/Sleuth Kit, EnCase, X-Ways, FTK et Plaso/log2timeline automatisent l'analyse et la timeline. Les défis actuels incluent le chiffrement intégral (BitLocker, FileVault, LUKS), le TRIM/garbage collection des SSD et les contenus synchronisés cloud, traités via NIST SP 800-86 et ISO/IEC 27037.