Lorsque l’on travaille dans le milieu du « computer forensic », une des étapes fondamentales est la copie des supports numériques de stockage. Cet article vous propose d’installer l’environnement AIR sous Ubuntu pour pouvoir effectuer vos copies en toute simplicité.
En outre, il vous suggère une petite modification du système pour contrôler manuellement le montage automatique des supports USB.

Les clients de messagerie instantanée sont maintenant devenus omni-présents sur les systèmes récents et la plupart des ordinateurs actuels en comptent au moins un installé (MSN, AIM, yahoo messenger …). Un des plus utilisés est skype, qui permet de téléphoner, chatter de manière écrite, ou encore d’échanger des fichiers.
J’ai découvert dernièrement un logiciel librement téléchargeable pour exploiter ces fichiers .DBB. Ce programme nommé SkypeLogView permet de charger les fichiers .DBB et d’afficher les appels reçus/émis, les chats, et les transferts de fichiers effectués.

Si les disques SATA ne posent aucun problème avec les bloqueurs en écriture TABLEAU eSATA Forensic Bridge (T35es), j’ai été confronté à plusieurs reprises, à des disques IDE non reconnus lors de l’examen des supports de stockage d’une machine.
J’ai d’abord cru à un problème de fonctionnement des disques en question. Mais quelques tests ont permis de mettre en évidence un fonctionnement un peu singulier des bloqueurs tableau.

Les logiciels d’investigation sont tous dotés de fonctionnalités permettant de filtrer les fichiers par leur empreinte numérique (Hash MD5). Plusieurs bases de données contenant les valeurs hashes des principaux logiciels (souvent en anglais) sont disponibles sur Internet.
Ayant été confronté au problème des versions françaises de ces logiciels, j’ai pris un peu de temps pour générer les empreintes numériques MD5 des systèmes d’exploitation XP et Vista et de quelques logiciels que l’on trouve couramment sur les disques durs. Elles sont disponibles en téléchargement au format X-ways forensic.