Ordre de volatilite
Qu'est-ce que Ordre de volatilite ?
Ordre de volatilitePriorite d'acquisition definie par la RFC 3227 imposant aux intervenants forensiques de collecter d'abord les preuves les plus ephemeres avant qu'elles ne soient ecrasees ou perdues.
L'ordre de volatilite est un principe fondamental du DFIR, formalise dans la RFC 3227, qui classe les preuves numeriques selon la vitesse a laquelle elles changent ou disparaissent. L'ordre canonique est : registres et cache CPU, memoire noyau et processus, etat reseau et caches ARP, processus en cours, systemes de fichiers temporaires, stockage persistant, donnees de journalisation et de monitoring distants, et enfin configuration physique et supports d'archive. Les intervenants doivent imager les sources volatiles avant tout arret ou redemarrage, car la RAM, les sessions reseau et l'etat de routage disparaissent a l'arret. En IR Windows moderne, on capture la memoire avec WinPmem ou DumpIt et on trie les artefacts volatiles avec KAPE ou Velociraptor avant les procedures d'arret forensique.
● Exemples
- 01
Acquerir un dump memoire et la sortie netstat avant de debrancher un hote qui beaconne.
- 02
Recuperer les cles de session TLS depuis la RAM avant la deconnexion qui les efface.
● Questions fréquentes
Qu'est-ce que Ordre de volatilite ?
Priorite d'acquisition definie par la RFC 3227 imposant aux intervenants forensiques de collecter d'abord les preuves les plus ephemeres avant qu'elles ne soient ecrasees ou perdues. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie Ordre de volatilite ?
Priorite d'acquisition definie par la RFC 3227 imposant aux intervenants forensiques de collecter d'abord les preuves les plus ephemeres avant qu'elles ne soient ecrasees ou perdues.
Comment fonctionne Ordre de volatilite ?
L'ordre de volatilite est un principe fondamental du DFIR, formalise dans la RFC 3227, qui classe les preuves numeriques selon la vitesse a laquelle elles changent ou disparaissent. L'ordre canonique est : registres et cache CPU, memoire noyau et processus, etat reseau et caches ARP, processus en cours, systemes de fichiers temporaires, stockage persistant, donnees de journalisation et de monitoring distants, et enfin configuration physique et supports d'archive. Les intervenants doivent imager les sources volatiles avant tout arret ou redemarrage, car la RAM, les sessions reseau et l'etat de routage disparaissent a l'arret. En IR Windows moderne, on capture la memoire avec WinPmem ou DumpIt et on trie les artefacts volatiles avec KAPE ou Velociraptor avant les procedures d'arret forensique.
Comment se défendre contre Ordre de volatilite ?
Les défenses contre Ordre de volatilite combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Ordre de volatilite ?
Noms alternatifs courants : Ordre de volatilite, Ordre RFC 3227.
● Termes liés
- forensics-ir№ 787
pagefile.sys
Fichier d'echange de memoire virtuelle de Windows sur le volume systeme ; peut contenir des fragments de memoire de processus, identifiants, cles, lignes de commande et charges utiles dechiffrees.
- forensics-ir№ 474
hiberfil.sys
Fichier d'hibernation Windows compresse qui stocke un instantane quasi complet de la memoire physique au moment de l'hibernation, donnant un acces forensique a la RAM depuis un systeme eteint.
- forensics-ir№ 043
Amcache.hve
Ruche de registre Windows qui enregistre des metadonnees detaillees (dont un SHA-1) sur chaque executable ayant tourne ou ete present sur le systeme, et qui fournit une preuve d'execution solide sur Windows moderne.
- forensics-ir№ 677
MFT (Master File Table)
Structure de metadonnees centrale de NTFS qui stocke un enregistrement de 1024 octets par fichier ou repertoire du volume et constitue la base de l'analyse forensique du systeme de fichiers Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Journal des numeros de sequence de mise a jour de NTFS qui enregistre chaque operation du systeme de fichiers et fournit aux forensiques une frise chronologique a haute resolution.