Evidor:
Recherche de preuves électroniques
No longer maintained since 2004, superseded by X-Ways
Investigator.
|
Evidor 1.23
Copyright by
X-Ways AG
Idée de
Jerry Saperstein
White Paper (PDF) |
Logiciel destiné aux
avocats, les spécialistes de la sécurité TI, enquêteurs assermentés, et les agences
chargées de l'application des lois.
Fonctionnalité
Evidor récupère le contexte des occurences de
mots-clés sur les supports informatiques, non seulement en examinant tous les
fichiers (tout l'espace alloué, même les fichiers swap/paging/hibernate de
Windows), mais aussi l'espace actuellement non alloué et ce qu'on appelle
l'espace chutes (slack space). Ceci veut dire que des données peuvent être
trouvées dans des fichiers effacés, s'ils existent toujours physiquement.
Evidor is a small subset of just the search functionality in
X-Ways Forensics. Please
note that Evidor cannot access remote networked hard disks.
Découverte et acquisition de preuves
électroniques
Evidor fournit aux enquêteurs un moyen
particulièrement facile et pratique de trouver et collecter des preuves
numériques sur supports informatiques. Evidor est pratique également pour les litiges
entre deux parties, quand l'une des parties souhaite examiner (inspecter) les ordinateurs
de la partie adverse. Evidor peut-être utilisé sur site pour les recherches
d'informations électroniques, ne révèle normalement pas d'informations propriétaires
ou confidentielles sans rapport avec l'objet de la recherche et n'impose pas une lourde
charge en terme de personnel, de temps passé ou d'argent. Evidor agit comme expert légal
automatisé et peut vous épargner le coût de nombreuses heures de recherche manuelle
difficile. Evidor produit des résultats fiables, reproductibles, neutres et simples, tels
qu'en demande un tribunal.
Sécurité TI
Evidor est aussi un excellent instrument pour prouver la
présence ou l'absence de données confidentielles sur des supports informatiques, que ce
soit pour détecter une faille de sécurité ou en confirmer l'inexistence. Grâce à
Evidor vous trouverez souvent des fragments (ou même des exemplaires intacts) de données
classées qui auraient du être cryptées, effacées de façon sûre, ou n'auraient pas du
se trouver du tout sur le support.
Autres Outils
Les produits suivants sont inclus dans Evidor:
un outil très puissant pour la récupération de données (Davory, licence professionnelle), un
outil qui déchiffre le fichier interne d'historique/cache d'Internet Explorer index.dat (X-Ways Trace) et un outil de clonage de
disque dur sous DOS (X-Ways Replica).
Important: For more up to date and
more powerful, yet still relatively easy to use search functionality
(and a lot of other functionality such as viewing, printing, and
commenting on documents, extracting metadata, report creation), we
now recommend X-Ways
Investigator. If you only need search functionality and is has
to be as simple as possible, then Evidor might still be better.
|
Utilisation et résultat d'Evidor
Sélectionnez un disque dans Evidor et fournissez une
liste de mots-clés (tels que noms de personnes, adresses électroniques, noms de drogues
illégales, etc.) Evidor retrouvera le contexte de chaque occurrence des termes
recherchés sur le disque et en écrira la liste dans un fichier de rapport dont vous
spécifierez le nom. Dans ce fichier vous trouverez certainement du texte provenant de
documents qui ont un rapport étroit avec les mots-clés, par example des bons de
commandes, messages électroniques, carnets d'adresses, emplois du temps etc. Evidor vous
indiquera où exactement un mot-clé a été trouvé (par exemple dans un fichier, dans
l'espace chutes, ou dans l'espace libre).
Evidor peut produire au choix des documents HMTL
(recommandé) ou des fichiers de simple texte. Les documents HTML peuvent être facilement
importés et retravaillés dans MS Excel (il suffit de glisser-déplacer ces fichiers de
l'Explorateur de Windows vers la fenêtre principale d'Excel.) Dans MS Excel vous pourrez
trier les occurences des mots recherchés par mots ou par emplacements, supprimer les
résultats non pertinents, etc. A cause du formatage HTML, le caractère "<"
est remplacé par "[" dans les données extraites à chaque fois qu'il y est
trouvé. Les fichiers de simple texte peuvent être vus dans tout éditeur de texte, MS
Word, etc. Toutes les occurences sont séparées dans le fichier de sortie par des sauts
de ligne et une ligne de six asterisques et le mot-clé correspondant.
Exemples
This sample output HTML file
created by Evidor shows occurrences of the city names Los Angeles, San
Francisco, New York, London, and Paris on a
user's drive F:. These names occur in postal addresses, as company headquarters, as font
descriptions, etc.
This sample output plain text
file shows all occurrences of an Internet URL (here: http://www.microsoft.com) on a
user's hard drive. Evidor quotes the context from temporary Internet files (browser
cache), from Internet Explorer's hidden log file (which memorizes all visited web sites),
and from free space (apparently previously allocated to the browser's cache).
Capture d'écran
DOS-based disk cloning tool included
II est recommandé d'utiliser X-Ways Replica, sous DOS,
pour créer un clone du disque à examiner. Most Windows environments tend to access a
newly attached drive without asking, thereby e.g. altering the last access dates of some
files. This is avoided under DOS. Ensuite travaillez sur le clone. Attachez-le à un
ordinateur comme disque secondaire. X-Ways
Replica
Related software:
X-Ways Forensics
What's?
v1.2 |
- Evidor is now available in French.
- Report file starts with a full description of the media examined (drive
model number, serial number, etc.)
- Search terms within extracted context marked in blue in HTML output
|
v1.01 |
- Error fixed that caused Evidor to report wrong sector numbers in some
cases.
- Exact offset (address) of each occurrence is reported, in decimal
notation.
|
|