Documentation utilisateur Autopsy  4.19.1
Plateforme de criminalistique numérique graphique pour The Sleuth Kit et autres outils.
Encryption Detection (Détection de chiffrement)

Table des matières

Aperçu

Le module "Encryption Detection" recherche les fichiers qui pourraient être chiffrés en utilisant à la fois un calcul général d'entropie et des tests plus spécialisés pour certains types de fichiers.

Lancement du module

Les paramètres du module peuvent être configurés lors de l'exécution. Ces paramètres n'affectent que les tests basés sur l'entropie.

encrypt_module.png

L'entropie minimale peut être réglée à une valeur supérieure ou inférieure, en fonction du nombre de faux positifs produits. Il existe également une option permettant d'exécuter le test uniquement sur des fichiers dont la taille est un multiple de 512, ce qui est utile pour trouver certains algorithmes de chiffrement.

Le module recherche les types de chiffrement suivants:

Voir les résultats

Les fichiers qui réussissent les tests de détection de chiffrement sont affichés dans la zone "Results" de l'arborescence sous "Encryption Detected" ou "Encryption Suspected". Généralement, si le test utilisé impliquait la recherche d'une structure d'en-tête/fichier spécifique, le résultat sera "Encryption Detected" et le type de chiffrement sera affiché dans la colonne "Comment". Si le test était basé sur l'entropie du fichier, le résultat sera "Encryption Suspected" et l'entropie calculée sera affichée dans la colonne "Comment".

encrypt_tree.png

Chaque découverte de suspicion de chiffrement génère également un message dans la boîte de notification. Ceux-ci sont indiqués grâce à un triangle d'avertissement près du haut de l'écran.

encrypt_inbox.png

La sélection de l'un des résultats de détection de chiffrement affiche l'entropie calculée du fichier.

encrypt_entropy.png

Copyright © 2012-2021 Basis Technology. Généré le Mardi 27 Juin 2023
Cette documentation est sous licence Creative Commons Attribution-Share Alike 3.0 United States License.