Mobile Forensics
Mobile Forensics (Français)
Mobile Forensics (Français)
  • Introduction
  • Preparations
    • Knowledge
    • Safety
    • Trust
    • Backup
  • Methodology
  • Vérification des ordinateurs Windows
    • Examen des programmes lancés au démarrage
    • Examiner les processus en cours
    • Examiner les connexions réseau
    • Extraire des données pour permettre une analyse plus approfondie
  • Checking Mac Computers
    • Review Programs Launching at Startup
    • Review Running Processes
    • Review Kernel Extensions
    • Review Network Connections
    • Review XProtect Logs
    • Extract Data for Further Analysis
  • Vérification des smartphones
    • Note : curriculum
    • Architecture des systèmes de smartphones
    • Vérifier les appareils liés aux applications de messagerie instantanée
    • Vérifier la présence de messages suspects
    • Surveiller le trafic réseau
    • Remarque : surveillance du trafic réseau sur Linux
  • Checking Android Devices Basic
    • Review Installed Applications
    • Check Storage
    • Check if the Phone is under Android Device Policy
    • Check if the Phone is Rooted
    • Check if Developer Options is Enabled
    • Analyze Applications
    • Extract Data for Further Analysis
    • Optional : Check for Indicators of Stalkerware Installation
  • Checking Android Devices Advanced
    • Wireshark
    • MVT
    • Other Tools
  • Checking iOS Devices
    • Review iCloud Accounts
    • Review Installed Applications
    • Check for Mobile Device Management Profiles
    • Check for Shortcuts
    • Check for Jailbreaks
    • Enable and Check App Privacy Report
    • Extract Data for Further Analysis
    • Analyzing Extracted Data
    • About Lockdown Mode
  • Checking Devices Remotely
    • Mac Computers
    • Android
  • Concluding a Forensic Gathering
  • References and Further Learning
  • License and Credits
Powered by GitBook
On this page
  1. Vérification des ordinateurs Windows

Extraire des données pour permettre une analyse plus approfondie

PreviousExaminer les connexions réseauNextChecking Mac Computers

Last updated 4 months ago

est un outil qui permet de vider les informations de démarrage et les processus actuels, ainsi que la mémoire pour permettre une analyse plus approfondie. Il est très utile, par exemple, si vous n'avez pas le temps de tout vérifier sur l'ordinateur et que vous voulez vérifier plus tard s'il y a des éléments suspects.

Vous devez exécuter ce programme à partir d'une clé USB avec suffisamment d'espace de stockage, double-cliquez sur le fichier binaire et suivez les instructions.

À moins d'avoir une bonne raison de le faire, il est recommandé de ne pas prendre un instantané de mémoire, car il contient beaucoup d'informations privées (il peut contenir des mots de passe par exemple).

Une fois terminé, il crée un dossier nommé par l'ID d'acquisition (une séquence de nombres hexadécimaux) qui contient :

  • Un fichier profile.json contenant des informations de base sur le système de l'ordinateur.

  • Un fichier process_list.json contenant une liste des processus en cours d'exécution.

  • Un fichier autoruns.json contenant une liste de tous les éléments persistants sur le système.

  • Un dossier autoruns_bins/ contenant des copies des fichiers et exécutables marqués pour la persistance dans le fichier JSON précédent.

  • Un dossier process_bins/ contenant des copies de processus en cours d'exécution.

  • Si vous le demandez, un dossier memory/ contiendra un instantané de la mémoire physique ainsi que des métadonnées.

pcqf
A screenshot of a window with a commandline program running therein. The program is PCQF and is asking the user if they would like to take a memory snapshot.