Carving de fichiers
Qu'est-ce que Carving de fichiers ?
Carving de fichiersTechnique forensique qui récupère des fichiers depuis l'espace non alloué ou des données brutes en reconnaissant signatures, en-têtes et pieds de fichier, sans recourir aux métadonnées du système de fichiers.
Le carving reconstruit des fichiers supprimés ou fragmentés directement à partir d'une image disque, d'un dump mémoire ou d'une capture réseau, même lorsque les entrées du système de fichiers sont manquantes ou corrompues. Les carvers identifient les candidats en cherchant des octets magiques connus (JPEG FFD8FFE0, PDF %PDF-) puis lisent jusqu'à un pied reconnu ou appliquent des heuristiques de taille. Outils courants : PhotoRec, Scalpel, Foremost, bulk_extractor et Magnet AXIOM. Les carvers avancés (SmartCarving) réassemblent les fichiers fragmentés avec une logique consciente de la structure. Essentiel lorsque l'adversaire efface des artefacts ou que le support est formaté, mais les résultats nécessitent une validation car les faux positifs sont fréquents.
● Exemples
- 01
Récupération d'images JPEG effacées d'une clé USB reformatée avec PhotoRec.
- 02
Carving de documents Office depuis un dump mémoire avec bulk_extractor.
● Questions fréquentes
Qu'est-ce que Carving de fichiers ?
Technique forensique qui récupère des fichiers depuis l'espace non alloué ou des données brutes en reconnaissant signatures, en-têtes et pieds de fichier, sans recourir aux métadonnées du système de fichiers. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie Carving de fichiers ?
Technique forensique qui récupère des fichiers depuis l'espace non alloué ou des données brutes en reconnaissant signatures, en-têtes et pieds de fichier, sans recourir aux métadonnées du système de fichiers.
Comment se défendre contre Carving de fichiers ?
Les défenses contre Carving de fichiers combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Carving de fichiers ?
Noms alternatifs courants : Carving de données, Récupération par signature.