Windows
J’ai un peu hésité quant au sujet à aborder en premier ; partir du très généraliste, pour aller dans les éléments/artefacts plus spécifiques ensuite?
Je crois que la réponse n’est pas simple, puisque quoi que l’on fasse en inforensique, plusieurs éléments vont rentrer en compte, certains à chaque analyse.
Alors autant se lancer dans le dur!
Le plus souvent possible, je ne parlerai que de ce que j’aurais pu tester moi-même (on reviendra sur cette notion de validation plus tard).
Quand ce ne sera pas le cas, j’essaierai de le mentionner! Certes dans le milieu de l’analyse numérique, certains éléments sont connus de (presque) tous. Ce n’est cependant pas pour autant que nous autres analystes nous aurons tout testé et validé personnellement!
On aborde donc les TimeStamps de fichiers, c’est-à-dire l’horodatage de ceux-ci, tels qu’enregistrés par un système de fichier NTFS (on parle donc Windows)
L’essentiel
On va retrouver 4 valeurs intéressantes concernant ces horodatages de fichiers :
- CREATED : horodatage création du fichier
- ACCESSED : dernière ouverture du fichier
- MODIFIED : dernière modification du fichier
- CHANGED : modification de l’entrée MFT ou d’un attribut de fichier
Les explications
Pas de technique pour le moment sur comment / où accéder à ces données, puisque nous aborderons plus tard (je vous avais prévenu, il fallait que je choisisse par où commencer) les logiciels forensiques utiles.
Ce qui suit a donc été testé et validé de mon côté, c’est donc dans un but didactique que je vous encourage à faire de même!
Les valeurs prises seules sont très simples à interpréter ; crééz un fichier, son heure de création correspondra bien à CREATED.
Ouvrez-le quelques minutes plus tard, la valeur ACCESSED sera modifiée.
Ouvrez-le et modifiez-le avant de le refermer (en sauvegardant bien sûr) et c’est la valeur MODIFIED qui sera également changée.
Les spécificités
Un fichier qui aura seulement été ouvert verra la valeur ACCESSED seule modifiée. Cette valeur sera également mise à jour si le fichier a été copié et collé : considérez que le fait de le copier va “Lire” le fichier et donc l’ouvrir (c’est seulement une image) avant d’en créer une copie.
Si vous constatez une valeur MODIFIED antérieure à celle de CREATED :
pas d’inquiétude il y a une explication! Un fichier qui a été modifié avant d’être créé, c’est en fait une copie ! Vous avez donc un fichier qui a probablement été copié/collé.
Dans ce cas, le CREATED correspond bien à la date de création du nouveau fichier, et le MODIFIED à l’original.
Un fichier déplacé (en faisant un glisser/déposer) va modifier à la fois ACCESSED et CHANGED.
Un fichier qui aura été modifié verra ACCESSED, MODIFIED, et CHANGED changés.
Concluons!
Autocritique pour commencer : j’ai voulu vous donner un peu de lecture et une idée de ce que j’ai envie de présenter ici, et forcément, plusieurs remarques!
Je suis en déplacement, et sans ordi… Donc, pas de captures d’écran pour agrémenter le tout!
Pas de souci, ça pourra être ajouté plus tard. Au contraire, ça vous donnera peut-être envie de repasser voir les changements.
Pourtant, pour vous donner envie de revenir, j’ai plus simple : j’ai remarqué en tapant tout ceci, qu’il me manque quelques tests à effectuer afin d’être assez complet!
J’ai en effet omis de constater les changements d’un COUPER/COLLER, pour voir quelles valeurs étaient modifiées, puis je me suis posé la question des valeurs impactées par un seul changement de métadonnées ou de permission sur un fichier…
Deux solutions donc : soit vous avez eu le courage de lire tout ça, et vous avez envie de participer et de me partager ici le résultat de vos tests, soit vous patientez encore une dizaine de jours que je puisse mettre à jour l’article après mes tests à venir 🙂
Dans tous les cas, n’hésitez pas ni à participer en dessous, ni à me faire un retour sur tout ça!
FY