Skip to main content

[Forensic] Collecte de données

Introduction

Avant votre analyse, il vous faudra collecter les données de votre disque ou votre périphérique. Vous pouvez effectuer une copie physique avec un bloqueur d'écriture de disque mais aussi lancer une distribution en live tel que Tsurugi Linux ou Paladin Linux pour monter les périphériques en lecture seule.

DD

sudo dd if=/dev/sdX of=tmp/myusb.raw bs=512M status=progress

Ou pour créer une image d'un système distant :

ssh root@192.168.122.33 "dd if=/dev/sda bs=512M" | dd of=/root/vm-debian.dd bs=512M

EWF Tools

Cette suite d'outils sur Linux permet de faire une copie bit à bit de votre périphérique au format E01.

Pour cela, lancez ewfacquire

ewfacquire /dev/sd<X>

Tout un tas de question vous sera posé. Laissez par défaut pour la plupart mais faite en sorte de n'avoir qu'un seul segment si possible (c'est plus pratique après pour ne pas à avoir à gérer plusieurs fichiers).

Vous pouvez afficher les informations de votre nouveau conteneur :

ewfinfo myusb.E01

Vous pouvez aussi vérifier l'intégrité de votre conteneur :

ewfverify myusb.E01