CyberGlossary

Forensique et réponse

Forensique disque

Aussi appelé: Forensique des supports, Forensique de disque dur

Définition

Analyse des supports de stockage non volatils — HDD, SSD, clés USB — pour récupérer et interpréter les artefacts du système de fichiers, des applications et de l'OS.

La forensique disque est la branche historique de la forensique numérique : elle s'appuie sur des images bit à bit et reconstruit l'activité à partir des systèmes de fichiers (NTFS, APFS, ext4, FAT), journaux, métadonnées, slack et espaces non alloués. Les enquêteurs étudient les enregistrements MFT, le journal USN, $LogFile, le prefetch, les jump lists, les raccourcis, les profils de navigateurs, les journaux d'événements Windows et les shellbags pour bâtir des chronologies. Des outils comme Autopsy/Sleuth Kit, EnCase, X-Ways, FTK et Plaso/log2timeline automatisent l'analyse et la timeline. Les défis actuels incluent le chiffrement intégral (BitLocker, FileVault, LUKS), le TRIM/garbage collection des SSD et les contenus synchronisés cloud, traités via NIST SP 800-86 et ISO/IEC 27037.

Exemples

  • Récupération avec Autopsy de documents supprimés dans l'espace non alloué NTFS.
  • Analyse du prefetch et de ShimCache pour confirmer l'exécution d'un binaire malveillant.

Termes liés