Synthèse des résultats obtenus par les deux versions du logiciel Encase

Les tests ont été menés sur huit supports informatiques composés de deux clés USB, un disque dur interne SATA, une carte mémoire SD, une carte mémoire compact flash et trois supports SSD.

Les recherches ont porté sur cent vingt et un fichiers supprimés avec dix-neuf extensions différentes : Formats de fichiers recherchés Nombre de fichiers recherchés 3gp 1 avi 2 csv 1 doc 12 eml 9 exe 8 flv 5

jpg 36 mp3 11 mp4 4 pdf 11 png 2 pps 1 ppt 2 txt 5 wmv 1 xls 1 xlsx 3 zip 6 3.3.2.1 Encase Version 6.18.1 Cas de test : CT-01-V6

Support examiné : Clé USB CELLEBRITE

Résultats obtenus par rapport aux exigences définies dans le plan de tests E-1. Identifie les informations relatives au support de stockage :

Le programme a listé de nombreuses informations relatives notamment au système de fichiers la capacité, le nombre de secteurs et la signature du support amovible.

E-2. Récupère tous types de fichiers supprimés:

Nos tests ont porté sur dix-neuf formats de fichiers différents.

Dans le cas d’un formatage, les données doivent êtres recherchées dans les espaces non-alloués du support notamment avec la technique de « Carving » qui permet d’analyser l’entête et la fin d’un fichier.

Certains types de fichiers comme les formats « txt » ou « csv » ne disposent pas d’en-têtes.

Dans une telle hypothèse à moins de disposer des mots clés ou d’informations sur le contenu des données, il n'est pas possible de récupérer le document recherché.

E-3. Localise les fichiers supprimés:

Les fichiers sont identifiés par leur offset, à titre d'illustration :

918221188, 918241668, 918262148, 918283559, 918328891, 918345135, 918357065, 918373441, 918385028,

 Les entêtes des fichiers "pdf" se trouvent aux Offsets 12206080, 78442496, 882896896, 1957208064, 1957871616.

E-4. Récupère les données supprimées présentes dans la corbeille: Cette exigence s'applique uniquement dans le cas des disques durs.

E-5. Récupère dans les espaces non-alloués:

Le support a fait l’objet d’un formatage. En l'absence de répertoire racine, les recherches sont menées dans les espaces non-alloués du support examiné. Différents types de recherches sont possibles mais les résultats doivent souvent faire l’objet d’un tri minutieux.

E-6. Indique le chemin original du fichier effacé:

La clé USB ayant été formatée, le chemin d'accès au répertoire racine n'existe plus.

E-7. Récupère des données par analyse de signature:

La recherche par analyse de signature permet de reconstituer un nombre important de données : Pour mener cette recherche, certains types de fichiers sont automatiquement prédéfinis par le logiciel comme les formats "BMP", "JPG", "GIF", "PNG"….

Pour d’autres formats comme les fichiers « EML » ou « PDF », les informations relatives au "carving" doivent être manuellement insérées dans le programme :  Tous les courriers électroniques au format "eml" ont pu être récupérés Mais

-Cinq fichiers "pdf" sur onze ont été entièrement récupérés.

Pour les fichiers "pdf", les informations relatives au "Carving" sont manuellement insérées dans le module de recherche du logiciel Encase.

Cas de test : CT-02-V6

Support examiné : Clé USB CELLEBRITE

Résultats obtenus par rapport aux exigences définies dans le plan de tests

E-1. Identifie les informations relatives au support de stockage :

Le logiciel Encase récupère différentes informations comme la capacité du support, le nombre de secteurs, numéro de série, version OEM ou le système de fichier.

E-2. Récupère tous types de fichiers supprimés:

Les recherches ont porté sur cent-vingt et un fichiers qui portent dix-neuf extensions différentes.

Le nom de la majorité des fichiers n’a pas subi d’altérations.

Les fichiers restés intacts avec leur nom d'origine sont directement identifiables depuis l'interface du programme.

Pour d’autres fichiers, leur premier caractère est remplacé par un le symbole "_", c'est une indication par le programme Encase qu’il s’agit de fichiers effacés. A titre d’exemple, un fichier intitulé « wcmd.txt » a été corrompu et son nom remplacé par « _CMD.TXT ».

« Memory » et « winen », contenus dans ce fichier, a permis de le reconstituer mais sans trouver aucune indication sur le format du fichier :

E-3. Localise les fichiers supprimés:

Les informations relatives au nom des fichiers et leur chemin sont produites par le logiciel.

Des données concernant les clusters et début et fin de secteurs occupés par les fichiers permettent également de les localiser:

Cette exigence ne concerne pas le présent support testé. E-5. Récupère dans les espaces non-alloués:

Quatre vingt quatorze fichiers parmi ceux listés par le logiciel sont corrompus et ne peuvent pas s’ouvrir.

Pour la reconstitution d’autres fichiers, les recherches ont été menées dans les espaces non-alloués du support.

La totalité des fichiers n’a pas été reconstituée mais différents formats ont été récupérés :

E-6. Indique le chemin original du fichier effacé:

Le programme n’indique pas le chemin original des fichiers effacés mais il contient des informations sur l’emplacement et le nom actuel de chaque fichier:

E-7. Récupère des données par analyse de signature:

La recherche par analyse de signature permet de récupérer de nombreuses données parmi les espaces non-alloués du support examiné.

Le recours à cette technique a permis de retrouver de nombreux fichiers aux formats « mp3 », « images » ou autres:

Cas de test : CT-03-V6

Support examiné : Disque dur SATA MAXTOR

E-1. Identifie les informations relatives au support de stockage :

Le logiciel fournit des informations relatives à la marque, le modèle, le numéro de série, la signature, le nombre total de secteurs et la capacité du disque dur.

E-2. Récupère tous types de fichiers supprimés:

Tous les formats de fichiers supprimés sur le support informatique ont été récupérés par Encase.

E-3. Localise les fichiers supprimés:

Le programme contient des informations détaillées relatives à l’emplacement de chaque fichier.

A titre d’illustration, pour un fichier intitulé « Difficultés rencontrées par les

experts.pdf », Encase répertorie les informations suivantes:

Début

secteur Secteurs Début octet Octets

Début

cluster Clusters

6 275 920 1 000 3 213 271 040 512 000 784 234 125

E-4. Récupère les données supprimées présentes dans la corbeille: Cent vingt-et-un fichiers supprimés sont récupérés dans la corbeille.

E-5. Récupère dans les espaces non-alloués:

Tous les fichiers supprimés étant récupérés dans la corbeille, il n’a pas été utile de mener une recherche au niveau des espaces non-alloués du disque dur.

E-6. Indique le chemin original du fichier effacé: