Outils d'analyse forensique sous Windows 2e Ã©dition ... - Pearson

Outils d’analyse 

forensique sous 

Windows 

2 e édition 

Harlan Carvey 

Traduit par Hervé Soulard 

avec la contribution technique de Paolo Pinto (Sysdream) 

© 2010 Pearson Education France – Outils d'analyse forensique sous Windows – Harlan Carvey

Pearson Education France a apporté le plus grand soin à la réalisation de ce livre afin de vous fournir 

une information complète et fiable. Cependant, Pearson Education France n’assume de responsabilités, 

ni pour son utilisation, ni pour les contrefaçons de brevets ou atteintes aux droits de tierces 

personnes qui pourraient résulter de cette utilisation. 

Les exemples ou les programmes présents dans cet ouvrage sont fournis pour illustrer les descriptions 

théoriques. Ils ne sont en aucun cas destinés à une utilisation commerciale ou professionnelle. 

Pearson Education France ne pourra en aucun cas être tenu pour responsable des préjudices ou 

dommages de quelque nature que ce soit pouvant résulter de l’utilisation de ces exemples ou 

programmes. 

Tous les noms de produits ou marques cités dans ce livre sont des marques déposées par leurs 

propriétaires respectifs. 

Publié par Pearson Education France 

47 bis, rue des Vinaigriers 

75010 PARIS 

Tél. : 01 72 74 90 00 

www.pearson.fr 

ISBN : 978-2-7440-2430-6 

Copyright © 2010 Pearson Education France 

Tous droits réservés 

Titre original : Windows Forensic Analysis DVD 

Toolkit, 2 nd edition 

Traduit de l’américain par Hervé Soulard, 

avec la contribution technique de Paolo Pinto 

ISBN original : 978-1-59749-422-9 

Copyright © 2009 by Elsevier, Inc. 

All rights reserved. 

Édition originale publiée par 

Syngress Publishing, Inc., Elsevier, Inc. 

30 Corporate Drive 

Burlington, MA 01803 

www.elsevier.com. 

Aucune représentation ou reproduction, même partielle, autre que celles prévues à l’article L. 122-5 2° et 3° a) 

du Code de la propriété intellectuelle ne peut être faite sans l’autorisation expresse de Pearson Education 

France ou, le cas échéant, sans le respect des modalités prévues à l’article L. 122-10 dudit code. 

No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, 

including photocopying, recording or by any information storage retrieval system, without permission from 

Pearson Education, Inc. 


Table des matières 

Préface ................................................................................................................................ 

Public du livre................................................................................................................. 

Organisation du livre ....................................................................................................... 

Contenu du DVD............................................................................................................. 

Conventions typographiques............................................................................................ 

Votre avis ........................................................................................................................ 

À propos de l’auteur........................................................................................................ 

V 

VI 

IX 

XII 

XIII 

XIV 

XIV 

1 Réponse immédiate : collecte des données volatiles ..................................................... 1 

1.1 Introduction ......................................................................................................... 1 

1.2 Réponse immédiate.............................................................................................. 3 

1.3 Données à collecter .............................................................................................. 13 

1.4 Informations non volatiles.................................................................................... 40 

1.5 Méthodologies de réponse immédiate................................................................... 49 

1.6 En résumé............................................................................................................ 59 

1.7 Formation accélérée ............................................................................................. 59 

1.8 Questions fréquentes............................................................................................ 61 

2 Réponse immédiate : analyse des données ................................................................... 63 

2.1 Introduction ......................................................................................................... 63 

2.2 Analyser des données........................................................................................... 64 

2.3 En résumé............................................................................................................ 85 



3 Analyse de la mémoire de Windows ............................................................................. 87 

3.1 Introduction ......................................................................................................... 87 

3.2 Collecter la mémoire d’un processus .................................................................... 90 

3.3 Acquérir la mémoire physique.............................................................................. 93 

3.4 Analyser une image mémoire ............................................................................... 116 

3.5 En résumé............................................................................................................ 147 



4 Analyse du Registre ...................................................................................................... 151 

4.1 Introduction ......................................................................................................... 151 

4.2 Au cœur du Registre ............................................................................................ 152 

4.3 Analyser le Registre............................................................................................. 165 


IV 

Table des matières 

4.4 En résumé............................................................................................................ 242 

4.5 Contenu du DVD ................................................................................................. 243 



5 Analyse des fichiers ...................................................................................................... 247 

5.1 Introduction ......................................................................................................... 247 

5.2 Fichiers de journalisation ..................................................................................... 248 

5.3 Métadonnées d’un fichier..................................................................................... 292 

5.4 Autres méthodes d’analyse................................................................................... 312 

5.5 En résumé............................................................................................................ 324 



6 Analyse des fichiers exécutables ................................................................................... 329 

6.1 Introduction ......................................................................................................... 329 

6.2 Analyse statique................................................................................................... 331 

6.3 Analyse dynamique.............................................................................................. 356 

6.4 En résumé............................................................................................................ 369 



7 Rootkits et détection de rootkit .................................................................................... 373 

7.1 Introduction ......................................................................................................... 373 

7.2 Rootkits ............................................................................................................... 374 

7.3 Détection des rootkits........................................................................................... 380 

7.4 En résumé............................................................................................................ 392 



8 Combiner le tout ........................................................................................................... 395 

8.1 Introduction ......................................................................................................... 395 

8.2 Études de cas ....................................................................................................... 396 

8.3 Comment démarrer .............................................................................................. 410 

8.4 Prolonger l’analyse chronologique ....................................................................... 418 

8.5 En résumé............................................................................................................ 420 



9 Analyse à budget limité ................................................................................................ 423 

9.1 Introduction ......................................................................................................... 423 

9.2 Documenter une analyse ...................................................................................... 425 

9.3 Outils................................................................................................................... 429 

9.4 En résumé............................................................................................................ 451 



Index ................................................................................................................................... 453

Outils d'analyse forensique sous Windows 2e Ã©dition ... - Pearson

Create successful ePaper yourself

Delete template?

Save as template?