Documentation utilisateur Autopsy
4.19.1
Plateforme de criminalistique numérique graphique pour The Sleuth Kit et autres outils.
|
Le module "Encryption Detection" recherche les fichiers qui pourraient être chiffrés en utilisant à la fois un calcul général d'entropie et des tests plus spécialisés pour certains types de fichiers.
Les paramètres du module peuvent être configurés lors de l'exécution. Ces paramètres n'affectent que les tests basés sur l'entropie.
L'entropie minimale peut être réglée à une valeur supérieure ou inférieure, en fonction du nombre de faux positifs produits. Il existe également une option permettant d'exécuter le test uniquement sur des fichiers dont la taille est un multiple de 512, ce qui est utile pour trouver certains algorithmes de chiffrement.
Le module recherche les types de chiffrement suivants:
Les fichiers qui réussissent les tests de détection de chiffrement sont affichés dans la zone "Results" de l'arborescence sous "Encryption Detected" ou "Encryption Suspected". Généralement, si le test utilisé impliquait la recherche d'une structure d'en-tête/fichier spécifique, le résultat sera "Encryption Detected" et le type de chiffrement sera affiché dans la colonne "Comment". Si le test était basé sur l'entropie du fichier, le résultat sera "Encryption Suspected" et l'entropie calculée sera affichée dans la colonne "Comment".
Chaque découverte de suspicion de chiffrement génère également un message dans la boîte de notification. Ceux-ci sont indiqués grâce à un triangle d'avertissement près du haut de l'écran.
La sélection de l'un des résultats de détection de chiffrement affiche l'entropie calculée du fichier.
Copyright © 2012-2021 Basis Technology. Généré le Mardi 27 Juin 2023
Cette documentation est sous licence
Creative Commons Attribution-Share Alike 3.0 United States License.