Informatique légale

L’importance de la marge de manœuvre des fichiers pour la criminalistique numérique et la découverte électronique

Posted by admin

Qu’est-ce que File Slack? Et comment cela se rapporte-t-il à la criminalistique informatique?

Si vous avez une compréhension de base des ordinateurs, vous saurez que les fichiers occupent de l’espace sur votre disque dur. Vous pouvez également comprendre que certains fichiers sont plus volumineux que d’autres et peuvent aller de quelques octets à plusieurs gigaoctets. Ce que vous ne savez peut-être pas, c’est que les fichiers ont en fait deux tailles de fichier: une taille logique et une taille physique. La raison des deux formats réside dans la manière dont le système de fichiers stocke les fichiers sur votre disque dur. Sans entrer trop dans le détail sur le fonctionnement des systèmes de fichiers, la réponse à ce mystère réside dans la compréhension de File Slack, qui est divisé en 2 parties: Drive Slack et RAM Slack. La connaissance de File Slack n’est pas requise pour l’informatique quotidienne, mais elle joue un rôle très important en matière de criminalistique numérique et de découverte électronique.

Vous avez peut-être entendu les termes Secteur et Cluster lorsque vous vous référez aux disques durs. À un niveau très basique, le secteur est la plus petite zone d’un support ou d’un disque dur sur lequel on peut écrire. Ces secteurs sont ensuite regroupés en clusters qui forment les unités d’allocation sur le disque. Sur les systèmes Windows, le secteur a une taille fixe de 512 octets, tandis que la taille du cluster est déterminée par la taille du disque lui-même. Les petits disques ont donc de petites tailles de cluster et vice versa. Lorsqu’un fichier est créé, le système de fichiers alloue les premiers clusters disponibles en fonction de la taille logique des données stockées. Évidemment, tout fichier stocké sur un disque ne peut pas avoir la taille exacte d’un ou plusieurs clusters, il restera donc de l’espace dans le dernier cluster. C’est File Slack.

RAM Slack fait référence à l’espace restant dans le dernier secteur d’un fichier. N’oubliez pas que les clusters sont les unités d’allocation, mais que le système de fichiers écrit toujours par blocs de 512 octets. Très rarement, un fichier sera un multiple exact de 512. Ainsi, une fois que le système de fichiers a fini d’écrire dans le dernier secteur d’un fichier, il y aura de l’espace à la fin de ce secteur. Avant Windows 95 version B, RAM Slack était rempli de données aléatoires de la RAM, d’où RAM Slack. Il s’agissait d’une vulnérabilité énorme car les données de la RAM pouvaient contenir des mots de passe et d’autres données sensibles. Depuis lors, les systèmes de fichiers Windows ont écrit la clé hexagonale x00 dans l’espace restant dans le dernier secteur d’un fichier.

Drive Slack fait référence aux secteurs non écrits restants dans le dernier cluster d’un fichier. Le système de fichiers ne remplit pas cet espace comme il le fait avec RAM Slack. Le système de fichiers ne fait rien avec cet espace. Toutes les données qui se trouvaient dans ces secteurs avant l’écriture du fichier y resteront, même les restes de fichiers supprimés.

Vous pouvez voir à quel point File Slack est important pour la criminalistique numérique et la découverte électronique. Avec le bon ensemble d’outils et un enquêteur judiciaire expérimenté comme moi, les données stockées dans File Slack et Unallocated Space peuvent être récupérées.

Leave A Comment