Montage d'une partition VDI/VMDK

Mise à jour le Lundi, 08 Août 2011 13:52

Problématique

Avec l'utilisation croissante de la virtualisation, nous rencontrons de plus en plus souvent des fichiers de type VDI (VirtualBox) ou VMDK (VMWare), qui  représentent un disque d'une machine virtuelle. Plusieurs questions peuvent se poser. Notamment, en supposant que la machine virtuelle n'est pas démarrée :

• comment faire une sauvegarde ?
• comment examiner le contenu du disque/de la partition ?

Ces questions sont loin d'être innocentes. Il existe de nombreuses situations dans lesquelles il est souhaitable d'accéder au contenu de l'un de ces fichiers, sans pour autant démarrer la machine virtuelle (ce qui peut d'ailleurs se révéler impossible pour une foule de raisons).

Lire la suite : Montage d'une partition VDI/VMDK

Identification de fichiers connus

Mise à jour le Mardi, 18 Octobre 2011 18:37

Nous présentons dans cette article une méthode de recherche de fichiers connus permettant à l'enquêteur de rapidement obtenir des réponses en maîtrisant le risque de faux négatif, sans avoir à explorer l'ensemble d'un support de stockage.

Dans de nombreuses investigations, les éléments recherchés se rapprochent de questions du type "tel fichier a-t-il été copié sur tel support". Plus généralement, il s'agit d'identifier le transit (éventuel : rien n'est certain tant que cela n'est pas prouvé)  d'un fichier ou ensemble d'informations sur un équipement informatique particulier (ou un ensemble d'équipements, que l'on peut analyser composant par composant). Si, dans cet article, nous évoquons souvent les supports de stockage classiques (disques durs, clés USB, mémoires SSD, etc.), la méthode décrite peut  s'appliquer à un stockage temporaire comme de la mémoire vive ou un transit sur un réseau.

Nous parlerons de façon générale de recherche de fichiers connus afin de décrire cet ensemble d'activités.

Lire la suite : Identification de fichiers connus