Académique Documents
Professionnel Documents
Culture Documents
Manipulation 2
Adrien Voisin, Guillerme Duvillié, Julien Denis
Henallux - 2021-2022
1 Introduction
Grâce à votre analyse Forensics de la clé USB, le suspect a pu être appréhendé. Son ordi-
nateur a été saisi à son domicile et l’équipe en charge a pu réaliser une image du disque dur
de celui-ci. Dans ce laboratoire, on vous demande tout d’abord de vous entrainer à capturer
vous-même une image disque sous Windows et sous Linux. Ensuite, vous pourrez passer à
l’analyse de l’image du disque de votre suspect.
2 Conseil pratique
Travailler avec des images disque est parfois laborieux. En effet, les images peuvent rapi-
dement atteindre des tailles importantes, comme dans notre cas, 50Gb pour l’image de la
machine du suspect. Afin de vous éviter des problèmes, commencez dès le début de la ses-
sion à télécharger l’image si ce n’est pas déjà fait. De plus, l’analyse préliminaire de l’image
avec Autopsy peut également prendre un temps certain. Veillez donc à bien gérer les 8h de
laboratoire pour ne pas perdre du temps à attendre ce genre de traitements.
Sur chaque VM, ajoutez un volume physique dans virtualbox (de 500Mb par exemple).
Ensuite, créez une partition sur ce volume (EXT4 pour Kali, NTFS pour Windows). Une
fois vos volumes logiques créés, effectuez les opérations suivantes:
• Ajoutez des fichiers divers sur ces volumes (images, fichiers texte, pdf etc)
1
• Sur la VM Kali, utilisez Guymager pour créer une image de la partition créée
• Sur la VM Windows, utilisez FTK Imager pour créer une image de la partition créée
Autre question : Comment feriez-vous pour placer une partition en read-only sur Win-
dows et Linux ?