? 2.9. Collection de données
? 2.9.1 Création des images
Les images médico -légales sont une technique de
collecte typique pour les PC, quel que soit le système d'exploitation
(Windows, Macintosh, Linux) qu'ils utilisent. Vous pouvez les créer avec
un logiciel ou avec des périphériques matériels
spécialisés, comme par exemple le logiciel FTK imager.
L'utilisation de l'imageur FTK pour créer une image
médico-légale est relativement simple, comme le montrent les
instructions fournies ci-dessous, qui expliquent en quelques étapes
comment acquérir des données à partir d'un support de
stockage.
1. Une fois FTK Imager installé, dans le menu
Démarrer de Windows, sélectionnez Programmes | Accès
Données | Imageur FTK, puis cliquez sur l'élément de menu
Imageur FTK.
2. Lorsque les programmes s'ouvrent, cliquez sur le menu
Fichier, puis cliquez sur l'élément de menu Ajouter un
élément de preuve.
3. Lorsque la boîte de dialogue Sélectionner la
source apparaît, cliquez sur l'option intitulée Lecteur logique.
Cliquez sur le bouton Suivant.
4. Lorsque la boîte de dialogue Sélectionner un
lecteur s'affiche, sélectionnez le lecteur contenant votre disquette ou
votre CD. Cliquez sur Terminer.
5. Lorsque la boîte de dialogue Créer une image
s'affiche, cliquez sur Ajouter.
6. Lorsque la boîte de dialogue Sélectionner la
destination de l'image s'affiche, spécifiez l'emplacement de stockage du
fichier image en saisissant un chemin dans le champ intitulé Dossier de
destination de l'image.
7. Dans le champ intitulé Nom du fichier image,
saisissez le nom que vous souhaitez donner au fichier sans extension. Cliquez
sur Terminer.
8. Lorsque la boîte de dialogue Créer une image
s'affiche à nouveau, cliquez sur Démarrer.
9. Patientez pendant que FTK Imager crée un fichier
d'image médico-légale des données sur le lecteur que vous
avez spécifié. Cela peut prendre plusieurs minutes. Une fois que
le champ Statut indique Image créée avec succès, cliquez
sur le bouton Fermer.
? 2.9.2 Collecte des Dumps
Un "dump" mémoire d'un processus correspond à
une copie du contenu de la mémoire virtuelle (pile, tas managé,
pile d'appels des différents "threads" etc...). Un débogueur peut
écrire le contenu de la mémoire virtuelle dans un fichier sur le
disque de façon à pouvoir le lire plus tard. Avec les sources, on
pourra ensuite lire le "dump" et voir une instance «gelée» du
processus de façon à identifier plus précisément la
ligne de code qui a menée au crash.
Il existe deux sortes de Dumps selon les informations qu'ils
contiennent, Full dump (contiennent tout le contenu de la mémoire
virtuelle, souvent sollicité quand on ne connaît pas l'origine du
problème) et Mini dump (concerne un processus spécifique et est
configurable de façon à choisir les informations qu'il
contiendra).
|