SysFailure

Inforensiques

Disque-1Nos activités, que ce soit en réponse à incidents ou en expertise judiciaire, nous amènent parfois à explorer ou utiliser des techniques particulières, ou à faire quelques travaux de recherche. Cette rubrique regroupe les articles concernant ces activités.

Imprimer

Libewf

le .

Une question se pose souvent lorsque l'on réalise la copie d'un support informatique (typiquement un disque dur) : comment stocker la dite copie. Une solution classique, aussi simple qu'efficace, est de créer un simple fichier dont le contenu sera identique, bit à bit, avec celui du support copié. C'est ce que fait la commande dd (et d'autres similaires) : une copie fidèle, de même taille que l'original. Cela suppose de disposer d'un espace de stockage libre au moins égal à la taille du support copié.

Une autre solution est de passer par un format de stockage compressé adapté. Parmi ceux-ci, le format EWF (Expert Witness Format), popularisé par Encase, fait figure de standard. Dans les environnements de type Linux, cela signifie d'utiliser libewf.

Imprimer

Montage d'une partition HFS+

le .

Linux est parfaitement capable de gérer, en lecture et en écriture, une partition HFS+ (MacOS). Le montage d'une telle partition nécessite diverses opérations sans grande complexité, sauf dans quelques cas pathologiques.

Imprimer

Démarrer un MacBook Pro Retina sous Linux

le .

Introduction

Lorsqu'il faut analyser le contenu d'un ordinateur, si l'on souhaite minimiser les risques d'altération du ou des supports de stockage, la liste des possibilités est réduite : démonter le support de stockage, le copier en utilisant un bloqueur d'écriture, et travailler sur la copie (sans oublier de remonter le support dans l'ordinateur). Pour des disques ou des supports SSD utilisant des connecteurs usuels (IDE, Sata, SCSI, mSata), il n'y a guère de difficultés à procéder au démontage, même s'il convient d'être prudent.

Il peut cependant arriver, et les ordinateurs portables Apple sont notoirement connus pour cela, que le support SSD n'utilise pas un connecteur standard. Le matériel idoine se trouve parfois sur Internet, avec des délais de livraison allant de la quinzaine de jours à deux bons mois. Ce n'est donc pas toujours envisageable.