SysFailure

Imprimer

Identification de fichiers connus - Recherches hors système de fichiers

.

Page 3 sur 8

Recherches en-dehors du système de fichiers

Recherche-4La recherche en-dehors du système de fichiers est très proche de la restauration de fichiers effacés. L'expression usuellement consacrée est celle de data carving, que l'on peut traduire par extraction de données. La recherche peut être faite sur l'intégralité du support (système de fichiers et espace libre) ou, pour la restauration d'un fichier récemment effacé, uniquement dans l'espace libre du système de fichiers (blocs non affectés).

L'extraction de données repose sur plusieurs hypothèses, qui doivent être respectées à divers degrés :

  1. les fichiers disposent d'un en-tête discriminant, qui n'a pas été détruit (ce qui est le cas si le fichier est toujours présent dans le système de fichiers, mais peut ne plus être vrai si le fichier a été effacé et les blocs de stockage ayant contenu le début du fichier ont été réattribués à d'autres fichiers)
  2. le fichier n'est pas ou très peu fragmenté sur le disque dur
  3. le fichier n'est ni compressé, ni chiffré.

Le programme photorec, de Christophe Grenier, est un bon exemple d'outil d'extraction de données.

Le fonctionnement général d'un tel outil est le suivant :

    1. parcours du support et identification des "en-têtes" des fichiers (JPG, GIF, MP3, bureautique, etc.)
    2. calcul, si possible, de la taille du fichier à partir des informations trouvées dans l'en-tête de celui-ci
    3. extraction des N blocs de données qui suivent l'en-tête.

    Un certain nombre d'optimisations et d'améliorations peuvent être apportées à l'algorithme général ci-dessus, l'idée restant toujours la même.

    Une extraction sur un support de stockage, lorsque l'on examine l'ensemble du support (et pas uniquement les blocs libres qu'il contient) renverra la totalité des fichiers présents sur le support, plus ceux qui ont été effacés mais peuvent être identifiés à partir de leur en-tête. Autant dire que, sur un disque moderne contenant un système d'exploitation, le nombre de fichiers extraits par l'outil peut facilement dépasser la centaine de milliers. Une phase de nettoyage, par exemple à base de condensats de fichiers connus et innocents, est absolument nécessaire.

    Même si elle permet de trouver des fichiers qui ont été effacés, la méthode d'extraction de données présente plusieurs inconvénients :

    • elle n'est vraiment efficace que si les fichiers cherchés contiennent des marqueurs particuliers (en-têtes ou autres structures facilement identifiables) et, pour les fichiers effacés, que ces marqueurs ont été préservés (les blocs les contenant n'ont pas encore été recyclés)
    • elle produit de très nombreux faux positifs, qu'il faut vérifier un par un
    • plus le délai depuis l'effacement des fichiers cherchés est long, plus la probabilité de retrouver les fichiers diminue.

    Dans une situation où les fichiers cherchés sont toujours présents sur le support ou ont été récemment effacés, l'extraction de données permet d'obtenir de bons résultats, sous réserve de procéder à la validation des fichiers renvoyés.