Autre point de curiosité : est-il possible de savoir que l'on a utilisé
un eraser ?
est-il possible d'extrapoler ou un mélange
de fragments de fichiers pourrait-il créer la même entropie (même si
j'imagine que de ne trouver quasiment aucun header classique, type jpg,
serait très peu probable) ?
Le der des der : y a-t-il un outil logiciel réellement puissant
permettant la recherche de données ?
Autre point de curiosité : est-il possible de savoir que l'on a utilisé
un eraser ?
est-il possible d'extrapoler ou un mélange
de fragments de fichiers pourrait-il créer la même entropie (même si
j'imagine que de ne trouver quasiment aucun header classique, type jpg,
serait très peu probable) ?
Le der des der : y a-t-il un outil logiciel réellement puissant
permettant la recherche de données ?
Autre point de curiosité : est-il possible de savoir que l'on a utilisé
un eraser ?
est-il possible d'extrapoler ou un mélange
de fragments de fichiers pourrait-il créer la même entropie (même si
j'imagine que de ne trouver quasiment aucun header classique, type jpg,
serait très peu probable) ?
Le der des der : y a-t-il un outil logiciel réellement puissant
permettant la recherche de données ?
Ben... S'il n'y a plus de table de partitions, ni d'informations de
formatage (FAT ou MFT), mais que le disque est rempli de données
aléatoires, on peut se douter qu'il y a eu un effacement.
Par contre, si tu formates le disque en NTFS, puis que tu y installes
un Windows tout neuf, avec Norton tant qu'à faire, et qu'enfin tu
remplis le disque à ras bord de films en DivX, ou de copies des
fichiers de DVD, tu pourras peut-être faire passer ton disque pour
celui d'un particulier, n'ayant aucun intérêt.
N'oublie pas de faire un formatage "léger" (style "format c:" sous
DOS) juste après.
Note que le header doit forcément se trouver au début d'un secteur.
Typiquement, on ne cherchera à analyser que les 4 premiers octets de
chaque secteur (ou bloc de 512 octets).
Ensuite, si on veut affiner un petit peu, il suffit d'essayer de
décrypter le reste du secteur.
Supposons que je trouve les quatres octets "RIFF" au début d'un
secteur. Il y a des chances pour que ce soit un fichier AVI. Les
premiers octets d'un fichier AVI ont une structure très précise ;
vérifier qu'il s'agit bien d'un AVI est donc très facile.
Idem avec beaucoup de formats connus.
Bof... Il y a des outils qui permettent d'accélérer les choses, mais
aucun outil ne peut découvrir plus de choses qu'un type patient devant
un dump papier du contenu du disque.
[Wow... Dans la série "Je ne sais pas répondre à la question, mais
c'est pas pour ça que je vais la fermer", elle se pose là, cette
réponse !]
Ben... S'il n'y a plus de table de partitions, ni d'informations de
formatage (FAT ou MFT), mais que le disque est rempli de données
aléatoires, on peut se douter qu'il y a eu un effacement.
Par contre, si tu formates le disque en NTFS, puis que tu y installes
un Windows tout neuf, avec Norton tant qu'à faire, et qu'enfin tu
remplis le disque à ras bord de films en DivX, ou de copies des
fichiers de DVD, tu pourras peut-être faire passer ton disque pour
celui d'un particulier, n'ayant aucun intérêt.
N'oublie pas de faire un formatage "léger" (style "format c:" sous
DOS) juste après.
Note que le header doit forcément se trouver au début d'un secteur.
Typiquement, on ne cherchera à analyser que les 4 premiers octets de
chaque secteur (ou bloc de 512 octets).
Ensuite, si on veut affiner un petit peu, il suffit d'essayer de
décrypter le reste du secteur.
Supposons que je trouve les quatres octets "RIFF" au début d'un
secteur. Il y a des chances pour que ce soit un fichier AVI. Les
premiers octets d'un fichier AVI ont une structure très précise ;
vérifier qu'il s'agit bien d'un AVI est donc très facile.
Idem avec beaucoup de formats connus.
Bof... Il y a des outils qui permettent d'accélérer les choses, mais
aucun outil ne peut découvrir plus de choses qu'un type patient devant
un dump papier du contenu du disque.
[Wow... Dans la série "Je ne sais pas répondre à la question, mais
c'est pas pour ça que je vais la fermer", elle se pose là, cette
réponse !]
Ben... S'il n'y a plus de table de partitions, ni d'informations de
formatage (FAT ou MFT), mais que le disque est rempli de données
aléatoires, on peut se douter qu'il y a eu un effacement.
Par contre, si tu formates le disque en NTFS, puis que tu y installes
un Windows tout neuf, avec Norton tant qu'à faire, et qu'enfin tu
remplis le disque à ras bord de films en DivX, ou de copies des
fichiers de DVD, tu pourras peut-être faire passer ton disque pour
celui d'un particulier, n'ayant aucun intérêt.
N'oublie pas de faire un formatage "léger" (style "format c:" sous
DOS) juste après.
Note que le header doit forcément se trouver au début d'un secteur.
Typiquement, on ne cherchera à analyser que les 4 premiers octets de
chaque secteur (ou bloc de 512 octets).
Ensuite, si on veut affiner un petit peu, il suffit d'essayer de
décrypter le reste du secteur.
Supposons que je trouve les quatres octets "RIFF" au début d'un
secteur. Il y a des chances pour que ce soit un fichier AVI. Les
premiers octets d'un fichier AVI ont une structure très précise ;
vérifier qu'il s'agit bien d'un AVI est donc très facile.
Idem avec beaucoup de formats connus.
Bof... Il y a des outils qui permettent d'accélérer les choses, mais
aucun outil ne peut découvrir plus de choses qu'un type patient devant
un dump papier du contenu du disque.
[Wow... Dans la série "Je ne sais pas répondre à la question, mais
c'est pas pour ça que je vais la fermer", elle se pose là, cette
réponse !]
Bonjour,
savez-vous quelles sont les capacités (et les prix, si vous avez) des
labo qui recherchent les données sur disque dur effacés ?
Est-il possible, sans requérir à des moyens énormes (cad > 100 keuros),
de pouvoir récupérer des données effacées avec un outil comme Eraser en
mode Guttmann 35 passes ?
Y a-t-il l'équivalent sous linux ?
Autre point de curiosité : est-il possible de savoir que l'on a utilisé
un eraser ? Si on voit la répétition d'un motif, style 00 ou FF, ça
parait suspect, mais si ce sont des données pseudo-hasardeuses
(pseudo-random data quoi :)) est-il possible d'extrapoler ou un mélange
de fragments de fichiers pourrait-il créer la même entropie (même si
j'imagine que de ne trouver quasiment aucun header classique, type jpg,
serait très peu probable) ?
Bonjour,
savez-vous quelles sont les capacités (et les prix, si vous avez) des
labo qui recherchent les données sur disque dur effacés ?
Est-il possible, sans requérir à des moyens énormes (cad > 100 keuros),
de pouvoir récupérer des données effacées avec un outil comme Eraser en
mode Guttmann 35 passes ?
Y a-t-il l'équivalent sous linux ?
Autre point de curiosité : est-il possible de savoir que l'on a utilisé
un eraser ? Si on voit la répétition d'un motif, style 00 ou FF, ça
parait suspect, mais si ce sont des données pseudo-hasardeuses
(pseudo-random data quoi :)) est-il possible d'extrapoler ou un mélange
de fragments de fichiers pourrait-il créer la même entropie (même si
j'imagine que de ne trouver quasiment aucun header classique, type jpg,
serait très peu probable) ?
Bonjour,
savez-vous quelles sont les capacités (et les prix, si vous avez) des
labo qui recherchent les données sur disque dur effacés ?
Est-il possible, sans requérir à des moyens énormes (cad > 100 keuros),
de pouvoir récupérer des données effacées avec un outil comme Eraser en
mode Guttmann 35 passes ?
Y a-t-il l'équivalent sous linux ?
Autre point de curiosité : est-il possible de savoir que l'on a utilisé
un eraser ? Si on voit la répétition d'un motif, style 00 ou FF, ça
parait suspect, mais si ce sont des données pseudo-hasardeuses
(pseudo-random data quoi :)) est-il possible d'extrapoler ou un mélange
de fragments de fichiers pourrait-il créer la même entropie (même si
j'imagine que de ne trouver quasiment aucun header classique, type jpg,
serait très peu probable) ?
savez-vous quelles sont les capacités (et les prix, si vous avez) des
labo qui recherchent les données sur disque dur effacés ?
Est-il possible, sans requérir à des moyens énormes (cad > 100 keuros), de pouvoir récupérer des données effacées avec un outil comme Eraser en mode Guttmann 35 passes ?
Y a-t-il l'équivalent sous linux ?
Autre point de curiosité : est-il possible de savoir que l'on a utilisé un eraser ?
savez-vous quelles sont les capacités (et les prix, si vous avez) des
labo qui recherchent les données sur disque dur effacés ?
Est-il possible, sans requérir à des moyens énormes (cad > 100 keuros), de pouvoir récupérer des données effacées avec un outil comme Eraser en mode Guttmann 35 passes ?
Y a-t-il l'équivalent sous linux ?
Autre point de curiosité : est-il possible de savoir que l'on a utilisé un eraser ?
savez-vous quelles sont les capacités (et les prix, si vous avez) des
labo qui recherchent les données sur disque dur effacés ?
Est-il possible, sans requérir à des moyens énormes (cad > 100 keuros), de pouvoir récupérer des données effacées avec un outil comme Eraser en mode Guttmann 35 passes ?
Y a-t-il l'équivalent sous linux ?
Autre point de curiosité : est-il possible de savoir que l'on a utilisé un eraser ?
Petite précision : je suis de l'autre côté. Je ne cherche pas à cacher
mais à savoir si l'on peut retrouver. En gros, déterminer la facilité
avec laquelle on peut cacher un contenu et, corollaire, la difficulté de
prouver qu'un contenu (même si on est incapable de le retrouver) a été
volontairement profondément détruit.
En prenant en compte le temps disponible (la personne a eu 5 minutes, 1
heures, 1 jour, 1 semaine), les outils existant (côté 'eraser' et côté
'retriever') et les connaissances informatiques du suspect.
Il s'agissait d'un disque sur lequel WinXP avait réinstallé. Ce dernier
avait formaté le disque (le proprio m'a assuré qu'il n'avait jamais
demandé ce formatage ...) donc Win s'est installé sur les données (mais,
heureusement, probablement surtout sur son ancien emplacement). Les
outils type 'unformat' n'ont rien donné à part du bruit.
Bon, et puis je m'éloigne de mes questions initiales.
Petite précision : je suis de l'autre côté. Je ne cherche pas à cacher
mais à savoir si l'on peut retrouver. En gros, déterminer la facilité
avec laquelle on peut cacher un contenu et, corollaire, la difficulté de
prouver qu'un contenu (même si on est incapable de le retrouver) a été
volontairement profondément détruit.
En prenant en compte le temps disponible (la personne a eu 5 minutes, 1
heures, 1 jour, 1 semaine), les outils existant (côté 'eraser' et côté
'retriever') et les connaissances informatiques du suspect.
Il s'agissait d'un disque sur lequel WinXP avait réinstallé. Ce dernier
avait formaté le disque (le proprio m'a assuré qu'il n'avait jamais
demandé ce formatage ...) donc Win s'est installé sur les données (mais,
heureusement, probablement surtout sur son ancien emplacement). Les
outils type 'unformat' n'ont rien donné à part du bruit.
Bon, et puis je m'éloigne de mes questions initiales.
Petite précision : je suis de l'autre côté. Je ne cherche pas à cacher
mais à savoir si l'on peut retrouver. En gros, déterminer la facilité
avec laquelle on peut cacher un contenu et, corollaire, la difficulté de
prouver qu'un contenu (même si on est incapable de le retrouver) a été
volontairement profondément détruit.
En prenant en compte le temps disponible (la personne a eu 5 minutes, 1
heures, 1 jour, 1 semaine), les outils existant (côté 'eraser' et côté
'retriever') et les connaissances informatiques du suspect.
Il s'agissait d'un disque sur lequel WinXP avait réinstallé. Ce dernier
avait formaté le disque (le proprio m'a assuré qu'il n'avait jamais
demandé ce formatage ...) donc Win s'est installé sur les données (mais,
heureusement, probablement surtout sur son ancien emplacement). Les
outils type 'unformat' n'ont rien donné à part du bruit.
Bon, et puis je m'éloigne de mes questions initiales.
forensic : effacement d'un disque dur (et recover)
forensic : effacement d'un disque dur (et recover)
forensic : effacement d'un disque dur (et recover)
Il me semble que ces "labos" sont plus spécialisés dans la récupération
de données *physiquement* difficiles à récupérer (plateaux endommagés,
electronique HDD grillée), même si l'on imagine qu'ils savent récupérer
des données après un simple format c:. On en a assez parlé après le 11
septembre par exemple.
Je ne sais pas trop ce que vaut le guttman 35 passes mais j'ai trouvé
une doc l'expliquant, ça peut aider:
http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html
Il me semble que ces "labos" sont plus spécialisés dans la récupération
de données *physiquement* difficiles à récupérer (plateaux endommagés,
electronique HDD grillée), même si l'on imagine qu'ils savent récupérer
des données après un simple format c:. On en a assez parlé après le 11
septembre par exemple.
Je ne sais pas trop ce que vaut le guttman 35 passes mais j'ai trouvé
une doc l'expliquant, ça peut aider:
http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html
Il me semble que ces "labos" sont plus spécialisés dans la récupération
de données *physiquement* difficiles à récupérer (plateaux endommagés,
electronique HDD grillée), même si l'on imagine qu'ils savent récupérer
des données après un simple format c:. On en a assez parlé après le 11
septembre par exemple.
Je ne sais pas trop ce que vaut le guttman 35 passes mais j'ai trouvé
une doc l'expliquant, ça peut aider:
http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html
[ reconstruire des donnees depuis un flot d'octets ]
Une piste (qui vaut ce qu'elle vaut).
[ reconstruire des donnees depuis un flot d'octets ]
Une piste (qui vaut ce qu'elle vaut).
[ reconstruire des donnees depuis un flot d'octets ]
Une piste (qui vaut ce qu'elle vaut).
Tu es flic, ou quelque chose de ce goût-là ?
Il s'agit de repérer si un contenu a été effacé pour savoir si ça vaut
le coup de payer un labo pour essayer de récupérer les données, ou
bien pour savoir s'il convient de s'inspirer du manuel de l'officier
de renseignement pour faire parler le suspect ?
Si j'avais des données compromettantes sur mon disque dur, et dix
minutes pour les effacer, je n'utiliserais certainement pas un
logiciel, mais un tournevis pour ouvrir le disque, puis le four à
micro-ondes, la gazinière, et un marteau. En prime, ça demande peu de
connaissances en informatique.
Si j'ai le temps et que je ne dois vraiment pas abimer le disque,
alors je pense que j'utiliserais la méthode décrite dans mon premier
message : plusieurs "dd if=/dev/urandom of=/dev/hda", installation de
Windows XP, remplissage complet du disque avec des conneries (vidéos
par exemple), puis éventuellement un formatage rapide.
Tu es flic, ou quelque chose de ce goût-là ?
Il s'agit de repérer si un contenu a été effacé pour savoir si ça vaut
le coup de payer un labo pour essayer de récupérer les données, ou
bien pour savoir s'il convient de s'inspirer du manuel de l'officier
de renseignement pour faire parler le suspect ?
Si j'avais des données compromettantes sur mon disque dur, et dix
minutes pour les effacer, je n'utiliserais certainement pas un
logiciel, mais un tournevis pour ouvrir le disque, puis le four à
micro-ondes, la gazinière, et un marteau. En prime, ça demande peu de
connaissances en informatique.
Si j'ai le temps et que je ne dois vraiment pas abimer le disque,
alors je pense que j'utiliserais la méthode décrite dans mon premier
message : plusieurs "dd if=/dev/urandom of=/dev/hda", installation de
Windows XP, remplissage complet du disque avec des conneries (vidéos
par exemple), puis éventuellement un formatage rapide.
Tu es flic, ou quelque chose de ce goût-là ?
Il s'agit de repérer si un contenu a été effacé pour savoir si ça vaut
le coup de payer un labo pour essayer de récupérer les données, ou
bien pour savoir s'il convient de s'inspirer du manuel de l'officier
de renseignement pour faire parler le suspect ?
Si j'avais des données compromettantes sur mon disque dur, et dix
minutes pour les effacer, je n'utiliserais certainement pas un
logiciel, mais un tournevis pour ouvrir le disque, puis le four à
micro-ondes, la gazinière, et un marteau. En prime, ça demande peu de
connaissances en informatique.
Si j'ai le temps et que je ne dois vraiment pas abimer le disque,
alors je pense que j'utiliserais la méthode décrite dans mon premier
message : plusieurs "dd if=/dev/urandom of=/dev/hda", installation de
Windows XP, remplissage complet du disque avec des conneries (vidéos
par exemple), puis éventuellement un formatage rapide.