Le framework Volatility

MISC n° 056 | juillet 2011 | Samuel Dralet
  • Actuellement 5 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Pour reprendre les propos de Nicolas Ruff [sstic07], trois méthodologies existent pour réaliser des analyses forensiques: dead forensics, live forensics et « la voie du milieu ». Le dead forensics consiste simplement de manière imagée à débrancher la prise de courant, donc globalement à analyser une copie de disque (appelée aussi image) ou de tous supports numériques. C'est le plus souvent la méthode « officielle ». Le live forensics a pour objectif de réaliser l'analyse sur la cible en cours d'exécution, cette méthode est essentiellement utilisée pour détecter toute éventuelle compromission sur un système. Enfin, « la voie du milieu », comme son nom l'indique, se positionne entre ces deux méthodologies et consiste à analyser une image mémoire d'un système en cours d'exécution. Cette méthodologie a un avantage sur le dead forensics, à savoir qu'il est possible de récupérer et analyser les informations dynamiques en collectant la mémoire physique, et a aussi un avantage sur le live forensics, puisque toute contre-expertise sera possible à partir de l'image analysée.

Abonnez-vous ou connectez-vous pour accéder à cet article