Logo Ayi NEDJIMI Consultants
Intelligence & Forensics
Forensics Corrélation Logs
Besoin d'un audit de sécurité ?
Devis personnalisé sous 24h
Outils & Méthodologie
Wazuh SIEM/XDR Threat Hunting
Guides Conformité & Réglementations 2026
Active Directory Infrastructure Cloud Kubernetes Microsoft 365 Virtualisation Forensics Solutions IA
Articles Guides Gratuits Livres Blancs Blog
Normes
ISO 27001 SOC 2 PCI DSS 4.0.1 S-SDLC & Secure by Design HDS 2026 SecNumCloud 2026 Cryptographie Post-Quantique
Réglementations 2026
DORA 2026 NIS 2 Directive NIS 2 AI Act 2026 CRA RGPD 2026 SBOM Cyber-assurance
Sécurité Opérationnelle
NIS2/DORA/RGPD Mapping IEC 62443 Audit Sécurité SI PRA/PCA Cyber PASSI ANSSI
IA & Certifications
RGPD & Règlement IA ISO 42001 Foundation ISO 42001 Lead Implementer ISO 42001 Lead Auditor Juridique & Éthique IA
News
Forensics / Analyse Disque

Forensique Disque : Acquisition d'Image et Analyse avec Autopsy et FTK

Par Ayi NEDJIMI 15 février 2026 Lecture : 30 min
#DiskForensics #Autopsy #FTK #DataRecovery #DFIR

Résumé exécutif

Le disque dur et le SSD constituent la mémoire persistante d'un système informatique. Lors d'une investigation forensique, l'acquisition et l'analyse minutieuse de ces supports permettent de reconstituer la chronologie d'un incident, d'identifier les actions d'un attaquant et de récupérer des données supprimées. Cet article propose un guide complet et opérationnel couvrant l'acquisition d'images forensiques avec FTK Imager, dd et Guymager, l'analyse approfondie avec Autopsy (The Sleuth Kit), l'exploitation des artefacts Windows (Prefetch, Amcache, ShimCache, SRUM, Jump Lists, USN Journal), la récupération de données par file carving, ainsi que les techniques d'analyse avancée incluant la détection de stéganographie et d'anti-forensics. Les analystes DFIR, les experts judiciaires et les professionnels SOC trouveront ici une méthodologie structurée pour conduire une analyse disque rigoureuse.

Introduction : le disque, mémoire persistante de l'attaquant

Chaque action effectuée sur un système informatique laisse des traces sur le disque. L'exécution d'un programme génère un fichier Prefetch sous Windows. L'ouverture d'un document crée une entrée dans les Jump Lists et les fichiers LNK. La suppression d'un fichier ne fait que marquer l'espace comme disponible dans le système de fichiers, les données restant physiquement présentes jusqu'à leur écrasement. Même les techniques sophistiquées de living-off-the-land qui tentent de minimiser les artefacts disque laissent des traces dans la MFT (Master File Table), le journal USN ou les bases de registre.

L'analyse forensique de disque est donc une discipline fondamentale du DFIR (Digital Forensics and Incident Response). Elle permet de répondre aux questions essentielles d'une investigation : Qui a effectué quoi, quand, comment et avec quel impact. Que l'incident soit un ransomware, une exfiltration de données, une compromission par rootkit kernel-mode ou un abus interne, le disque recèle les preuves nécessaires à la compréhension de l'attaque et à la constitution du dossier judiciaire.

Acquisition d'image forensique

FTK Imager : l'outil de référence Windows

FTK Imager (AccessData/Exterro) est l'outil d'acquisition le plus utilisé dans le monde professionnel. Gratuit et disponible sous Windows, il offre une interface graphique intuitive et des fonctionnalités complètes :

  • Acquisition complète : création d'images bit-à-bit de disques physiques, partitions logiques et volumes.
  • Formats multiples : E01 (Expert Witness Format, compressé et segmenté), Raw/dd (copie brute), AFF (Advanced Forensic Format), SMART.
  • Vérification d'intégrité : calcul automatique des hash MD5 et SHA-1 (SHA-256 via la ligne de commande).
  • Capture mémoire : acquisition de la RAM du système en cours d'exécution.
  • Montage d'images : possibilité de monter une image E01 comme un lecteur virtuel en lecture seule.
  • Mode portable : exécutable autonome sans installation, idéal pour la réponse à incident.

Procédure d'acquisition avec FTK Imager :

# Étapes dans FTK Imager (interface graphique)
1. File > Create Disk Image
2. Select Source : Physical Drive > \\.\PhysicalDrive1 (disque suspect)
3. Add Destination : Image Type = E01
   - Case Number : CASE-2026-087
   - Evidence Number : EV-001
   - Examiner : A. NEDJIMI
   - Description : Disque dur suspect poste DESKTOP-SUSPECT01
   - Destination : E:\Evidence\CASE-2026-087\
   - Image Fragment Size : 2048 MB
   - Compression : 6 (optimal)
4. Cocher "Verify images after they are created"
5. Cocher "Create directory listings"
6. Start

dd et dcfldd : acquisition en ligne de commande Linux

L'utilitaire dd et sa variante forensique dcfldd permettent une acquisition en ligne de commande sous Linux. dcfldd ajoute des fonctionnalités essentielles : calcul de hash à la volée, barre de progression, vérification d'intégrité automatique et possibilité de diviser l'image en segments.

# Acquisition avec dcfldd et vérification SHA-256
dcfldd if=/dev/sdb \
  of=/evidence/CASE-2026-087/disk.raw \
  hash=sha256 \
  hashlog=/evidence/CASE-2026-087/hash_acquisition.log \
  hashwindow=1G \
  bs=512 \
  conv=noerror,sync \
  statusinterval=256

# Acquisition avec dc3dd (variante DoD)
dc3dd if=/dev/sdb \
  of=/evidence/CASE-2026-087/disk.raw \
  hof=/evidence/CASE-2026-087/disk.raw.sha256 \
  hash=sha256 \
  log=/evidence/CASE-2026-087/acquisition.log \
  rec=off

# Acquisition au format E01 avec ewfacquire (libewf)
ewfacquire /dev/sdb \
  -t /evidence/CASE-2026-087/disk \
  -C "CASE-2026-087" \
  -D "Disque suspect DESKTOP-01" \
  -e "A. NEDJIMI" \
  -E "EV-001" \
  -f encase6 \
  -c best \
  -S 2G

Guymager : acquisition graphique sous Linux

Guymager est un outil d'acquisition graphique open source intégré aux distributions forensiques CAINE, SIFT et Tsurugi. Il se distingue par son moteur d'acquisition multi-thread qui exploite tous les coeurs du processeur, offrant des vitesses d'acquisition significativement supérieures à dd. Il produit des images E01, AFF et Raw avec calcul de hash SHA-256 et MD5 simultané.

Formats d'image forensique

FormatExtensionCompressionMétadonnéesUtilisation
Raw / dd.raw, .dd, .imgNonNonUniversel, compatible avec tous les outils
E01 (Expert Witness).E01, .E02...Oui (zlib)Oui (case info, hash)Standard industriel, FTK/EnCase
AFF4.aff4OuiOui (RDF)Open source, extensible, efficace
SMART.s01OuiOuiASR Data (historique)

Live vs Dead acquisition

Choix du mode d'acquisition

L'acquisition dead (machine éteinte, disque connecté via write blocker) offre la meilleure garantie d'intégrité et constitue la méthode préférée. L'acquisition live (machine allumée) est nécessaire lorsque :

  • Le disque est chiffré (BitLocker, LUKS, FileVault) et la clé est en mémoire.
  • Des volumes chiffrés sont montés (VeraCrypt).
  • Les données volatiles (RAM, connexions) sont critiques.
  • Un ransomware est en cours d'exécution et la clé peut être extraite de la mémoire.
  • Le serveur ne peut pas être éteint (serveur de production critique).

En acquisition live, capturer la RAM en premier (ordre de volatilité RFC 3227), puis réaliser l'image disque. Documenter l'état du système (processus, connexions, utilisateurs connectés) avant toute action.

Workflow d'Acquisition Forensique 1. PRÉPARATION Write blocker Station forensique Documentation 2. CONNEXION Disque via write blocker Vérification détection Photo du setup 3. HASH SOURCE SHA-256 du disque Consigner dans PV Horodatage 4. ACQUISITION FTK / dd / Guymager Image E01 ou Raw Hash à la volée 5. VÉRIFICATION Hash image = source PV final signé Scellé numérique IMAGE FORENSIQUE VÉRIFIÉE Master Copy (scellée) + Working Copy (pour analyse) Outils Windows FTK Imager (GUI) Arsenal Image Mounter X-Ways Forensics EnCase Forensic Outils Linux dd / dcfldd / dc3dd Guymager (GUI) ewfacquire (E01) CAINE / SIFT / Tsurugi Write Blockers Tableau T356789iu CRU WiebeTech MediaClone SuperImager Logiciel : CAINE mount ro Copyright Ayi NEDJIMI Consultants

Autopsy : plateforme d'analyse forensique

Installation et configuration

Autopsy est la plateforme d'analyse forensique open source la plus utilisée au monde. Développée par Basis Technology, elle repose sur The Sleuth Kit (TSK), une suite d'outils en ligne de commande créée par Brian Carrier. Autopsy est disponible sous Windows (version 4.x) et Linux (version 4.x via packages ou compilation). L'installation sous Windows est directe : télécharger l'installeur depuis le site officiel et suivre l'assistant. Sous Linux, l'installation nécessite Java 8+, les dépendances TSK et les binaires Autopsy.

# Installation Autopsy sous Linux (Ubuntu/Debian)
sudo apt install autopsy sleuthkit

# Ou via snap pour la dernière version
sudo snap install autopsy

# Vérification de la version TSK
fls -V
mmls -V

Création d'un cas et ajout de sources

La création d'un cas dans Autopsy suit une procédure structurée :

  • New Case : définir le nom du cas, le numéro de référence, le répertoire de stockage et les informations de l'examinateur.
  • Add Data Source : importer l'image forensique (E01, Raw, VHD, VMDK). Autopsy supporte également l'ajout de disques physiques (en lecture seule), de dossiers logiques et d'archives.
  • Ingest Modules : sélectionner les modules d'analyse à exécuter automatiquement. Ces modules constituent la puissance d'Autopsy.

Modules d'analyse (Ingest Modules)

Les modules d'ingestion d'Autopsy analysent automatiquement l'image et extraient les artefacts pertinents :

ModuleFonctionArtefacts extraits
Recent ActivityHistorique du systèmeHistorique navigateurs, téléchargements, cookies, derniers documents ouverts
Hash LookupComparaison de hashCorrespondances avec NSRL (fichiers connus), hashsets malveillants
Keyword SearchRecherche textuelleMots-clés dans fichiers, espace non alloué, slack space
File Type IdentificationSignature de fichiersDétection de fichiers renommés (extension vs magic bytes)
EXIF ParserMétadonnées imagesGéolocalisation, date de prise de vue, appareil photo
Email ParserExtraction emailsMessages Outlook (PST/OST), Thunderbird, MBOX
Encryption DetectionVolumes chiffrésDétection BitLocker, VeraCrypt, PGP
TimelineChronologieSuper timeline fusionnant tous les horodatages (MACB)
Android AnalyzerDonnées mobilesSMS, contacts, historique appels, WhatsApp

Timeline Analysis

La timeline est l'une des fonctionnalités les plus puissantes d'Autopsy. Elle agrège tous les horodatages du système de fichiers (Modified, Accessed, Changed, Born -- timestamps MACB) en une chronologie unifiée. L'analyste peut filtrer par plage temporelle, par type d'événement et par source pour reconstituer la séquence d'actions. Cette fonctionnalité est essentielle pour établir la chronologie d'une attaque, depuis la compromission initiale jusqu'à l'exfiltration des données.

# Génération de timeline avec TSK en ligne de commande
# 1. Créer le bodyfile
fls -r -m / /evidence/disk.raw > bodyfile.txt

# 2. Convertir en timeline
mactime -b bodyfile.txt -d > timeline.csv

# 3. Filtrer par plage temporelle (période de l'incident)
mactime -b bodyfile.txt -d \
  2026-02-10T00:00:00 2026-02-15T23:59:59 > incident_timeline.csv

# 4. Avec log2timeline (Plaso) pour une super timeline
log2timeline.py --storage-file timeline.plaso /evidence/disk.raw
psort.py -o l2tcsv timeline.plaso > super_timeline.csv

Systèmes de fichiers : artefacts spécifiques

NTFS : la MFT et ses trésors

Le système de fichiers NTFS (New Technology File System) est le système par défaut de Windows depuis NT 3.1. Sa structure repose sur la Master File Table ($MFT), une base de données relationnelle contenant un enregistrement pour chaque fichier et répertoire du volume. Chaque entrée MFT (1024 octets par défaut) stocke les attributs du fichier : nom ($FILE_NAME), horodatages ($STANDARD_INFORMATION), données ($DATA), identifiant de sécurité ($SECURITY_DESCRIPTOR).

Les artefacts NTFS clés pour l'investigation forensique :

  • $MFT : contient l'enregistrement de chaque fichier, y compris les fichiers supprimés (tant que l'entrée n'est pas réutilisée). Les timestamps $STANDARD_INFORMATION peuvent être falsifiés (timestomping), mais les timestamps $FILE_NAME dans $MFT sont plus fiables car rarement modifiés par les outils d'anti-forensics.
  • $UsnJrnl ($Extend\$UsnJrnl) : le journal USN (Update Sequence Number) enregistre chaque modification apportée aux fichiers et répertoires. C'est un historique détaillé des créations, suppressions, renommages et modifications. Essentiel pour détecter les suppressions de fichiers et les modifications suspectes.
  • $LogFile : journal transactionnel NTFS qui enregistre les opérations en cours. Permet de récupérer des données après un crash ou une coupure de courant.
  • Alternate Data Streams (ADS) : fonctionnalité NTFS permettant d'attacher des flux de données invisibles à un fichier. Utilisé par les attaquants pour masquer des malwares ou exfiltrer des données. La commande dir /r ou les outils forensiques révèlent les ADS.
# Extraction de la MFT avec TSK
icat /evidence/disk.raw 0 > $MFT

# Analyse de la MFT avec analyzeMFT
analyzeMFT.py -f $MFT -o mft_analysis.csv

# Extraction et analyse du journal USN
icat /evidence/disk.raw 49 > $UsnJrnl
python usnjrnl.py -f $UsnJrnl -o usn_output.csv

# Recherche d'Alternate Data Streams
fls -r /evidence/disk.raw | grep -i ":"

ext4, APFS et FAT32

ext4 (Linux) : le système de fichiers ext4 utilise des inodes pour stocker les métadonnées. Le journal (journal=data ou journal=ordered) enregistre les modifications. Les fichiers supprimés voient leur inode marqué comme libre mais les données persistent. L'outil extundelete permet la récupération. Les permissions Unix (uid, gid, mode) sont des artefacts forensiques utiles.

APFS (Apple) : le système de fichiers d'Apple (macOS 10.13+, iOS 10.3+) utilise un conteneur avec un ou plusieurs volumes. Les fonctionnalités de snapshot intégrées permettent de récupérer des états antérieurs du système de fichiers. La persistance sur macOS et Linux fait l'objet de techniques spécifiques documentées dans notre article sur la persistence macOS/Linux.

FAT32 : système de fichiers hérité encore présent sur les clés USB et les cartes SD. La suppression d'un fichier remplace le premier caractère du nom par 0xE5 dans l'entrée de répertoire. La récupération est souvent triviale. FAT32 ne stocke pas de permissions, ce qui limite les artefacts forensiques disponibles.

Structure NTFS : Master File Table ($MFT) Volume NTFS : Boot Sector | $MFT | $MFTMirr | $LogFile | $Volume | Data Area Entrées MFT (1024 octets chacune) Entry 0 $MFT (self) Métafichier système Entry 2 $LogFile Journal transactionnel Entry 5 Root Directory Répertoire racine C:\ Entry 12345 rapport.docx Fichier utilisateur Entry 67890 secret.xlsx SUPPRIMÉ (récupérable) $UsnJrnl Journal USN Modifications Anatomie d'une entrée MFT (1024 octets) Header Signature "FILE" Flags, Seq# $STANDARD_INFO Timestamps MACB Permissions, Owner $FILE_NAME Nom du fichier Timestamps (fiables) $DATA Contenu fichier ou data runs $SECURITY_DESC ACL / Permissions SID propriétaire ADS (optionnel) Alternate Data Streams cachés Point clé forensique : les timestamps $FILE_NAME résistent au timestomping Comparer $STANDARD_INFORMATION vs $FILE_NAME pour détecter la falsification Copyright Ayi NEDJIMI Consultants

Artefacts Windows : guide complet

Prefetch

Les fichiers Prefetch (C:\Windows\Prefetch\*.pf) sont créés par Windows pour accélérer le chargement des applications fréquemment utilisées. Chaque fichier Prefetch enregistre : le nom de l'exécutable, le chemin d'exécution, le nombre d'exécutions, les huit dernières dates d'exécution (Windows 8+), et la liste des fichiers et dossiers chargés pendant les dix premières secondes. C'est un artefact de premier plan pour prouver l'exécution d'un programme, y compris un malware ou un outil d'attaque.

# Analyse des Prefetch avec PECmd (Eric Zimmerman)
PECmd.exe -d C:\Windows\Prefetch --csv C:\output\ --csvf prefetch.csv

# Recherche d'un exécutable spécifique
PECmd.exe -f "C:\Windows\Prefetch\MIMIKATZ.EXE-A1B2C3D4.pf"

# Sous Linux avec prefetch-parser
python prefetch_parser.py -d /mnt/evidence/Windows/Prefetch/ -o prefetch_results.csv

Amcache et ShimCache

Amcache (C:\Windows\appcompat\Programs\Amcache.hve) est une ruche de registre qui enregistre des métadonnées sur les applications exécutées : hash SHA-1 du binaire, chemin complet, taille, date de première exécution, éditeur et version. C'est un artefact précieux pour identifier des binaires malveillants même après leur suppression, car le hash reste dans Amcache.

ShimCache (AppCompatCache, stocké dans SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache) enregistre les exécutables consultés par le système de compatibilité. Il stocke le chemin, la date de dernière modification du fichier et un indicateur d'exécution (sur certaines versions). ShimCache est écrit dans le registre à l'arrêt du système et persiste en mémoire pendant le fonctionnement.

# Analyse Amcache avec AmcacheParser (Eric Zimmerman)
AmcacheParser.exe -f "C:\Windows\appcompat\Programs\Amcache.hve" \
  --csv C:\output\ --csvf amcache.csv

# Analyse ShimCache avec AppCompatCacheParser
AppCompatCacheParser.exe -f "C:\Windows\System32\config\SYSTEM" \
  --csv C:\output\ --csvf shimcache.csv

# Corrélation : rechercher un hash SHA-1 malveillant dans Amcache
# Si le hash correspond à un malware connu, même si le fichier a été supprimé,
# Amcache prouve son exécution passée

SRUM (System Resource Usage Monitor)

SRUM (C:\Windows\System32\sru\SRUDB.dat) est une base de données ESE (Extensible Storage Engine) introduite dans Windows 8. Elle enregistre la consommation de ressources par application : utilisation réseau (octets envoyés/reçus par processus), durée d'exécution CPU, énergie consommée, durée d'utilisation au premier plan. SRUM conserve 30 à 60 jours d'historique et constitue un artefact exceptionnel pour détecter l'exfiltration de données : un processus ayant transmis des gigaoctets de données sur le réseau sera clairement visible.

# Analyse SRUM avec SrumECmd (Eric Zimmerman)
SrumECmd.exe -f "C:\Windows\System32\sru\SRUDB.dat" \
  -r "C:\Windows\System32\config\SOFTWARE" \
  --csv C:\output\ --csvf srum.csv

# Sous Linux avec srum-dump
python srum_dump.py -i SRUDB.dat -r SOFTWARE -o srum_output.xlsx

Jump Lists, fichiers LNK et Recycle Bin

Jump Lists (%AppData%\Microsoft\Windows\Recent\AutomaticDestinations\ et CustomDestinations\) enregistrent les fichiers récemment ouverts par chaque application. Chaque entrée contient le chemin complet du fichier, les timestamps d'accès et le numéro de série du volume. Ils révèlent quels documents ont été consultés, même sur des partages réseau ou des clés USB.

Fichiers LNK (raccourcis Windows, %AppData%\Microsoft\Windows\Recent\) contiennent des métadonnées précieuses : chemin cible, taille du fichier, timestamps MACB, adresse MAC de l'interface réseau (si le fichier était sur un partage réseau), numéro de série du volume. Ils persistent même après la suppression du fichier cible.

Recycle Bin (C:\$Recycle.Bin\{SID}\) : lorsqu'un fichier est supprimé via l'Explorateur, il est déplacé dans la Corbeille. Le fichier $I contient les métadonnées (chemin original, date de suppression, taille) tandis que le fichier $R contient les données. L'analyse de la Corbeille révèle les fichiers que l'utilisateur ou l'attaquant a tenté de supprimer.

Thumbcache et USN Journal

Thumbcache (%LocalAppData%\Microsoft\Windows\Explorer\thumbcache_*.db) stocke les miniatures générées par l'Explorateur Windows pour les images, vidéos et documents. Même après la suppression d'une image, sa miniature peut persister dans le thumbcache, fournissant une preuve visuelle de son existence passée. L'outil Thumbcache Viewer permet d'extraire ces miniatures.

Le USN Journal ($Extend\$UsnJrnl:$J) enregistre chaque modification du système de fichiers NTFS : créations, suppressions, renommages, modifications de contenu et d'attributs. Chaque entrée contient un timestamp, le nom du fichier, le type de modification et la référence MFT. Le journal USN est crucial pour reconstituer la chronologie des actions d'un attaquant, notamment la dépose de fichiers malveillants, leur exécution et leur suppression ultérieure.

Artefacts Windows par Catégorie d'Investigation Exécution de Programmes Prefetch 8 dernières exécutions, fichiers chargés Amcache.hve SHA-1 binaire, chemin, 1ère exécution ShimCache Chemin, date modif, flag exécution BAM / DAM Background Activity (Win10+) UserAssist Programmes GUI exécutés (ROT13) Question : "Quoi a été exécuté ?" Accès aux Fichiers Jump Lists Fichiers récents par application Fichiers LNK Raccourcis, MAC cible, vol. serial Shellbags Dossiers parcourus (Explorateur) Recycle Bin ($I / $R) Fichiers supprimés, chemin original Thumbcache Miniatures images/vidéos Question : "Quels fichiers consultés ?" Réseau & Utilisation SRUM (SRUDB.dat) Octets réseau par processus (30-60j) Historique navigateurs URLs, téléchargements, cookies Wi-Fi Profiles SSID connectés, timestamps NetworkList (Registre) Réseaux connus, dates connexion DNS Cache Résolutions récentes (volatil) Question : "Quelles communications ?" Système de Fichiers (NTFS) $MFT Métadonnées tous fichiers (y compris supprimés) $UsnJrnl Journal modifications (créations, suppressions) $LogFile Journal transactionnel NTFS ADS Alternate Data Streams (données cachées) Registre & Persistance Run / RunOnce Keys Programmes au démarrage (persistance) Services Services installés (malveillants potentiels) Scheduled Tasks Tâches planifiées (persistance avancée) MUICache / TypedPaths Programmes utilisés, URLs saisies Rootkits kernel-mode | Ransomware Kill Chain | Persistence macOS/Linux | UEFI Bootkits | Living-off-the-Land | Infostealers Outils : Eric Zimmerman Tools | Autopsy | X-Ways | Volatility | Plaso/log2timeline | RegRipper Copyright Ayi NEDJIMI Consultants

Récupération de données

File carving : récupération par signatures

Le file carving est une technique de récupération de fichiers basée sur leurs signatures (magic bytes) plutôt que sur les métadonnées du système de fichiers. Cette méthode est particulièrement efficace lorsque le système de fichiers est endommagé, que les entrées de répertoire ont été écrasées ou que le disque a été intentionnellement reformaté.

Le principe est simple : scanner le disque (ou l'espace non alloué) à la recherche de séquences d'octets connues correspondant aux en-têtes et pieds de page des formats de fichiers. Par exemple, un fichier JPEG commence par FF D8 FF et se termine par FF D9. Un fichier PDF commence par %PDF et se termine par %%EOF.

# File carving avec Photorec (open source, très efficace)
photorec /evidence/disk.raw

# File carving avec Scalpel (configurable)
scalpel -b -o /output/carved/ /evidence/disk.raw

# File carving avec foremost
foremost -t jpg,pdf,docx,xlsx -o /output/carved/ -i /evidence/disk.raw

# Carving ciblé sur l'espace non alloué uniquement
# 1. Extraire l'espace non alloué avec blkls (TSK)
blkls /evidence/disk.raw > unallocated.raw

# 2. Carver l'espace non alloué
photorec unallocated.raw

Récupération de fichiers supprimés

La suppression d'un fichier dans la plupart des systèmes de fichiers ne fait que marquer les clusters comme libres et modifier l'entrée de répertoire. Les données restent physiquement sur le disque jusqu'à leur écrasement par de nouvelles données. La récupération est possible tant que les secteurs n'ont pas été réutilisés.

Dans Autopsy, les fichiers supprimés sont automatiquement détectés et affichés dans la section "Deleted Files". L'outil les identifie par l'analyse de la MFT (entrées marquées comme non allouées), du journal USN et de l'espace non alloué. Le taux de récupération dépend du temps écoulé depuis la suppression et de l'activité du système (écriture de nouvelles données).

# Lister les fichiers supprimés avec TSK
fls -rd /evidence/disk.raw

# Récupérer un fichier supprimé par son numéro d'inode
icat /evidence/disk.raw 67890 > recovered_file.xlsx

# Récupération massive avec tsk_recover
tsk_recover -e /evidence/disk.raw /output/recovered/

# Sur ext4 avec extundelete
extundelete --restore-all /evidence/disk.raw

# Sur NTFS avec ntfsundelete
ntfsundelete /evidence/disk.raw -t 7d -p '*.docx' -d /output/

Analyse avancée

Détection de stéganographie

La stéganographie est l'art de dissimuler des informations dans un fichier porteur (image, audio, vidéo) de manière invisible. Un attaquant peut exfiltrer des données en les cachant dans des images apparemment anodines. La détection repose sur l'analyse statistique des fichiers :

  • Analyse chi-carré : détecte les anomalies dans la distribution des bits de poids faible (LSB).
  • Comparaison de taille : un fichier image anormalement volumineux par rapport à ses dimensions peut contenir des données cachées.
  • Outils spécialisés : StegDetect, Stegsolve, zsteg (PNG/BMP), steghide (JPEG).
# Détection stéganographie dans les images PNG
zsteg -a image_suspecte.png

# Analyse stéganographique JPEG
stegdetect image_suspecte.jpg

# Extraction de données cachées (si mot de passe connu)
steghide extract -sf image.jpg -p "password"

# Analyse en masse des images du disque
find /mnt/evidence/ -name "*.jpg" -exec stegdetect {} \; > steg_results.txt

Volumes chiffrés et conteneurs

La détection de volumes chiffrés est une étape critique de l'analyse. Les indicateurs incluent :

  • BitLocker : signature -FVE-FS- dans le Boot Sector, métadonnées BitLocker dans les 3 premiers secteurs.
  • VeraCrypt / TrueCrypt : absence de signature identifiable (conception anti-forensique), entropie élevée uniforme sur tout le volume.
  • LUKS (Linux) : signature LUKS\xba\xbe en début de partition.
  • FileVault 2 (macOS) : structure Core Storage détectable.

L'accès au contenu chiffré nécessite la clé de déchiffrement. En acquisition live, les clés peuvent être extraites de la mémoire RAM. En acquisition dead, les clés de récupération BitLocker peuvent être trouvées dans l'Active Directory, le compte Microsoft ou un fichier de sauvegarde. Pour les bootkits UEFI, la compromission du processus de démarrage peut également compromettre le chiffrement de disque.

Détection d'anti-forensics

Les attaquants sophistiqués utilisent des techniques d'anti-forensics pour entraver l'investigation. L'analyste doit être capable de les détecter :

Technique anti-forensicsIndicateurs de détectionOutils de détection
TimestompingIncohérence $SI vs $FN dans MFTanalyzeMFT, MFTECmd, Autopsy
Wiping (sdelete, cipher)Patterns de zéros dans slack space, entrées USN sans donnéesAutopsy, EnCase, analyse entropie
Log clearingEvent ID 1102 (Security log cleared), trous dans les Event LogsChainsaw, hayabusa, EvtxECmd
File renamingExtension ne correspondant pas au magic bytesFile Type ID module (Autopsy)
ADS hidingDonnées dans Alternate Data Streamsfls (TSK), Autopsy, dir /r
Encrypted volumesEntropie élevée uniforme, absence de FS reconnuEntropy analysis, Autopsy Encryption Detection

Les infostealers modernes incluent souvent des routines de nettoyage automatique après l'exfiltration des données, rendant l'analyse de ces artefacts anti-forensics particulièrement importante.

Reporting : génération de rapport

Rapport Autopsy

Autopsy intègre un module de génération de rapports qui produit des documents structurés au format HTML, Excel ou texte. Le rapport inclut automatiquement les artefacts identifiés (fichiers marqués, résultats de recherche par mots-clés, hash matches), les propriétés du cas et les métadonnées des sources de données. L'analyste peut personnaliser le rapport en sélectionnant les modules à inclure et en ajoutant des commentaires sur les artefacts importants (fonctionnalité de tagging).

Timeline export et corrélation

L'export de la timeline au format CSV permet une corrélation avec d'autres sources de données : logs SIEM, logs réseau, alertes EDR. En important la timeline dans un tableur ou un outil de visualisation (Timeline Explorer d'Eric Zimmerman, Kibana, Splunk), l'analyste peut filtrer, trier et croiser les événements pour reconstituer la séquence complète de l'attaque.

# Export complet de la super timeline
psort.py -o l2tcsv timeline.plaso \
  "date > '2026-02-10 00:00:00' AND date < '2026-02-15 23:59:59'" \
  > incident_timeline.csv

# Filtrage des événements pertinents
psort.py -o l2tcsv timeline.plaso \
  "source_short == 'FILE' AND filename contains 'mimikatz'" \
  > mimikatz_timeline.csv

# Génération de rapport HTML Autopsy (ligne de commande)
# Via l'interface graphique : Generate Report > HTML Report
# Sélectionner les modules et artefacts à inclure

Checklist du rapport forensique disque

  • Informations du cas (numéro, date, examinateur).
  • Description des sources de données (disques, images, hash).
  • Méthodologie d'acquisition (outils, write blockers, vérification hash).
  • Résumé des constatations principales.
  • Timeline chronologique des événements clés.
  • Artefacts identifiés avec captures d'écran et contexte.
  • Fichiers récupérés (carving, fichiers supprimés).
  • Analyse des techniques anti-forensics détectées.
  • Conclusions et recommandations.
  • Annexes techniques (hash complets, commandes exécutées, outils et versions).

Conclusion

La forensique disque constitue le socle de toute investigation numérique. La rigueur de l'acquisition -- write blocker, vérification des hash, procès-verbal détaillé -- conditionne la recevabilité des preuves. La puissance des outils modernes comme Autopsy et la suite d'Eric Zimmerman permet d'automatiser l'extraction et la corrélation des artefacts, mais l'expertise de l'analyste reste irremplaçable pour interpréter les résultats et reconstituer le récit de l'attaque.

Les artefacts Windows -- Prefetch, Amcache, ShimCache, SRUM, Jump Lists, USN Journal -- forment un écosystème d'indices convergents qui, correctement exploités, permettent de répondre avec précision aux questions fondamentales de l'investigation. La récupération de données par file carving et l'analyse de l'espace non alloué étendent le champ d'investigation aux données que l'attaquant pensait avoir détruites.

Face à des attaquants qui déploient des techniques de ransomware, de persistance avancée par bootkits UEFI ou de persistence cross-platform, la maîtrise de la forensique disque est une compétence stratégique. Elle permet non seulement de comprendre l'incident et d'y remédier, mais aussi de constituer le dossier probatoire nécessaire aux actions judiciaires et aux obligations de notification réglementaire.

La formation continue, la veille sur les nouveaux artefacts introduits par les mises à jour de Windows et la pratique régulière sur des cas d'étude sont les clés de l'excellence en forensique disque.

Votre Infrastructure est-elle Sécurisée ?

Nos experts en cybersécurité et forensique identifient vos vulnérabilités et analysent les incidents. Découvrez nos services forensiques.

Demander un Audit Gratuit

Ressources et Références Officielles

Documentations officielles, outils reconnus et ressources de la communauté DFIR

Autopsy - Digital Forensics Platform
autopsy.com
Eric Zimmerman Tools - DFIR Toolkit
ericzimmerman.github.io
SANS Windows Forensic Analysis Poster
sans.org
Ayi NEDJIMI

Ayi NEDJIMI

Expert en Cybersécurité & Intelligence Artificielle

Consultant senior avec plus de 15 ans d'expérience en sécurité offensive, audit d'infrastructure et développement de solutions IA. Certifié OSCP, CISSP, ISO 27001 Lead Auditor et ISO 42001 Lead Implementer. Intervient sur des missions de pentest Active Directory, sécurité Cloud et conformité réglementaire pour des grands comptes et ETI.

LinkedIn Profil complet Tous ses articles

Références et ressources externes

Besoin d'une expertise en cybersécurité ?

Protégez votre infrastructure contre les attaques avancées

Nos Services