Informatique légale

Redonner vie aux morts: récupérer des fichiers supprimés avec Windows Search

Posted by admin

C’est un cauchemar de découverte électronique. Après des mois de combats pour accéder à l’ESI de l’autre côté, vous apprenez que les preuves les plus importantes que vous espériez trouver ont été supprimées. Pire encore, les données ont été effacées, ce qui a rendu impossible la récupération avec des techniques médico-légales normales. Ce qui peut être fait? Si vous avez de la chance, une petite fonctionnalité Microsoft astucieuse appelée Windows Search peut vous sauver la situation.

J’ai récemment été impliqué dans un cas comme celui-ci. L’utilisateur de l’ordinateur en question était raisonnablement averti en technologie et a effacé tous les documents, courriels et autres fichiers utilisateur de son ordinateur avant de les remettre pour découverte. Cependant, il a commis une grave erreur. Il n’a pas réussi à supprimer un fichier d’aspect inoffensif nommé “Windows.edb”. Ce petit dossier s’est avéré être la clé de l’affaire.

Alors, quel est ce “Windows.edb”? C’est le cœur de Windows Search, un élément de Windows qui vous permet de rechercher instantanément l’ensemble de votre ordinateur. Tapez un mot et Windows Search vous montrera immédiatement tous les documents, messages électroniques et fichiers multimédias contenant ce terme.

Pour rendre la recherche instantanée, Windows fonctionne en arrière-plan pour créer une liste gigantesque de chaque fichier généré par l’utilisateur sur votre ordinateur et de son contenu. Cette liste gigantesque s’appelle un «index» et est stockée dans «Windows.edb». Essentiellement, ce fichier contient le texte de chaque fichier utilisateur sur votre ordinateur.

Bien que notre utilisateur averti ait effacé avec succès tous ses fichiers de l’ordinateur, il était possible de reconstruire presque tout à partir du fichier “Windows.edb” qu’il n’aurait pas pu supprimer. Grâce à un ensemble d’outils spécial, plus de 50 000 documents et e-mails ont été extraits. Mieux encore, les outils ont extrait les horodatages des métadonnées, les informations sur les auteurs, etc.

Cependant, lorsqu’il s’agit d’obtenir la preuve de Windows Search, la vitesse est essentielle. Windows Search réexamine constamment votre ordinateur et met à jour “Windows.edb”. Lorsque les fichiers et les e-mails sont supprimés de l’ordinateur, ils sont également supprimés de l’index. Ainsi, si un ordinateur est laissé en service, les gemmes de preuve gérées par Windows Search disparaîtront tout simplement.

Si vous pensez que des informations de preuve importantes ont été supprimées de votre ESI, ne paniquez pas pour les conserver. Si l’ordinateur est éteint, assurez-vous qu’il le reste. Si vous contrôlez l’ordinateur, enregistrez-le pour que personne ne soit tenté de l’allumer. Si l’ordinateur est toujours entre les mains de l’autre extrémité, créez une exigence d’attente pour que la machine ne s’allume pas.

Même après l’effacement, Windows Search peut encore contenir des preuves critiques pour votre cas. Avec une bonne conservation et les bons outils, ces preuves peuvent être ramenées à la vie.

Leave A Comment