Différences

Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.

--- app_forensic [2012/06/26 14:40]
rooxy
+++ app_forensic [2017/04/09 15:33] (Version actuelle)
@@ Ligne 8: / Ligne 8: @@
   - générer un rapport et faire l'extraction des éléments pertinents
-Dans les challenges on trouve généralement des fichiers .pcap corresponadnt à la capture de trafic réseau sujet abordé en fin d'article/page.
+Dans les challenges on trouve généralement des fichiers .pcap correspondant à la capture de trafic réseau, sujet abordé en fin d'article/page.
 ===== Sécurisation de la preuve =====
@@ Ligne 18: / Ligne 18: @@
 Un distribution dédiée (cf. liste ci-dessus) est vivement conseillée.
 La copie du disque peut être effectuée à l'aide de la commande:
-<code>dd if=/dev/nom_du_disque_à_copier of=nom_de_l'image bs=1024</code>
+<code>dd if=/dev/nom_du_disque_à_copier of=nom_de_l'image bs=1M</code>
 en ayant pris soin, au préalable, de vérifier quel sont les noms attribués aux disques avec la commande:
 <code> sudo fdisk -l</code>
+Pour le transport sur un support amovible on peut directement "piper" le processus dans un tar.gz mais pour l'analyse si l'on peut conserver les accès disque uniquement pour l'analyse sans avoir besoin de décompresser à la volée c'est mieux.
+<code>dd if=/dev/nom_du_disque_à_copier | gzip -c9 > nom_de_l'image.gz </code>
 ===== Pré-traitement =====

Zenk - Security