SysFailure

Imprimer

Identification de fichiers connus - Conclusions

.

Conclusions

La recherche par blocs permet de s'affranchir des limitations des recherches classiques de fichiers connus.

Dès lors que l'on identifie un ou plusieurs blocs discriminants correspondant à un fichier connu, il est possible d'en conclure avec une très grande fiabilité que le fichier en question est ou a été sur le support examiné. Plus le nombre de blocs identifiés est important, plus la conclusion est fiable.

La durée d'une recherche par blocs se faisant sur l'intégralité d'un support de stockage est une fonction linéaire de la taille du support. Ainsi, une recherche sur un support de 1,5 Tio durera environ 10 heures. Il devient alors intéressant de ne pas lire l'intégralité du support, mais seulement un échantillon choisi au hasard parmi tous les blocs de stockage.

La taille de l'échantillon doit être choisie en fonction de la taille du support, de la taille du fichier recherché et du niveau considéré acceptable de risque de faux négatif. Cette probabilité d'échec pouvant être calculée, en fonction des trois paramètres que sont la taille du support, la taille du fichier recherché et le nombre d'échantillon, l'enquêteur peut facilement décider de la taille de l'échantillon qu'il va exploiter. En cas de détection, le gain de temps est particulièrement intéressant (quelques minutes au lieu de plusieurs heures). Dans le cas inverse de non détection, si l'enquêteur craint qu'il ne s'agisse d'un faux négatif, il peut toujours lancer une recherche sur l'intégralité du support. Il n'aura perdu que quelques minutes pour la recherche par échantillonnage.

Le principal problème de la recherche par échantillonnage se situe au niveau du temps d'accès aux blocs du support à analyser. Dans nos tests, un simple ordonnancement des blocs à lire (après un choix aléatoire) a permis de diviser par trois le temps d'exécution du programme. D'autres optimisations, en fonction des caractéristiques physiques du support, peuvent probablement être réalisées.