Cet article tente d’aborder la problématique du forensics mémoire en environnement Windows. Avant même que l’analyse forensics n’ait débuté, l’expert se retrouve face à des problématiques techniques engendrées par les différentes versions de Windows non compatibles entre elles. Quelles sont les solutions techniques à disposition de l’expert ? Peut-il se contenter des outils disponibles sur Internet ? Quelles sont les limites d’une analyse forensics tout en mémoire ? Ce sont à toutes ces questions que nous essaierons de répondre.
Objectifs du forensics mémoire
Disque vs Mémoire
Les techniques du forensics « traditionnel » (orienté disque) sont bien connues et maîtrisées. De nombreux produits matériels (ex. : copieurs de disques) et logiciels sont disponibles à la vente. Et ces techniques produisent des résultats tangibles, reconnus devant les tribunaux.
Dans ces conditions, on peut se demander à quoi sert le forensics mémoire, une technique encore jeune et immature, dont les résultats sont difficiles à exploiter (surtout dans un environnement propriétaire comme Microsoft Windows) et contestables (le support étant souvent altéré pendant la collecte).
De notre point de vue, le forensics mémoire adresse des problématiques complètement différentes du forensics « légal » : il s'agit, lors d'une réponse à un incident de sécurité, de collecter les traces les plus volatiles de l'intrusion, afin d'identifier la méthode d'intrusion de l'attaquant, et les dommages causés au...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première