Utiliser les mots-clés avec Magnet AXIOM
Les mots-clés sont un maillon essentiel d’un grand nombre d’examens de criminalistiques. Même si l’exécution de listes de mots-clés ne devrait pas constituer l’étendue d’une enquête, la liste de mots-clés appropriée peut aider les examinateurs à obtenir rapidement les preuves pertinentes pour leur dossier.
Magnet AXIOM permet aux examinateurs d’exécuter plusieurs recherches de différents mots-clés, que ce soit avant ou après le traitement de votre dossier. Jetons un coup d’œil sur certaines options disponibles.
Mots-clés dans AXIOM Process
Les examinateurs auront généralement des mots-clés à comparer aux preuves au début de leur enquête. Dans AXIOM, il est possible de charger des listes et des mots-clés individuels avant le traitement. Une fois que vous chargez vos preuves, la première option de traitement consiste à ajouter des mots-clés.
Vous pouvez ajouter des listes de mots-clés en cliquant sur le lien « AJOUTER UNE LISTE DE MOTS-CLÉS », puis utiliser AXIOM sur un fichier texte séparé par des lignes ou un fichier .kws (.kws est un format simple qui vous permet d’enregistrer des regex ou d’autres mots-clés tout en conservant leurs paramètres – un fichier .txt fonctionne également.) La liste est chargée et sera conservée dans l’ensemble des dossiers dans AXIOM. Vous pouvez choisir d’inclure la liste dans votre dossier en cochant la case « Activé » ou en la décochant si vous ne souhaitez pas l’inclure à votre recherche.
Vous pouvez également ajouter des mots-clés individuels ci-dessous en cliquant sur « AJOUTER UN MOT-CLÉ », qui vous permettra d’ajouter un seul mot-clé ou une expression régulière au dossier. Les mots-clés uniques ne sont pas conservés d’un dossier à l’autre.
Regex/GREP
Vous pouvez créer des expressions régulières pour chercher des chaînes communes qui pourraient être aussi importantes pour votre enquête. Lorsque vous ajoutez une expression régulière en tant que mot-clé, assurez-vous de cocher la case « Expression régulière/GREP » pour qu’AXIOM sache qu’il doit être traité comme une expression régulière et non comme une chaîne normale.
AXIOM utilise le schéma d’expression régulière .NET ; par conséquent, selon la façon dont vos expressions régulières ont été créés, vous devrez peut-être les modifier légèrement pour qu’ils soient conformes au format .NET. Pour en savoir plus sur les expressions régulières .NET, cliquez ici : https://msdn.microsoft.com/en-us/library/hs600312(v=vs.110).aspxx
Voici une liste des expressions régulières courants que nous utilisons, n’hésitez pas à les utiliser ou à créer vos propres expressions régulières :
Carte de crédit Visa 4[0-9]{12}(?:[0-9]{3})?
Carte de crédit MasterCard 5[1-5][0-9]{14}
Carte de crédit American Express 3[47][0-9]{13}
Carte de crédit Diners Club 3(?:0[0-5]|[68][0-9])[0-9]{11}
Carte de crédit Discover 6(?:011|5[0-9]{2})[0-9]{12}
Carte de crédit JCB (?:2131|1800|35\d{3})\d{11}
Numéros de téléphone en Amérique du Nord ((\(\d{3}\) ?)|(\d{3}-))?\d{3}-\d{4}
Adresse e-mail [\w-]+(?:\.[\w-]+)*@(?:[\w-]+\.)+[a-zA-Z]{2,7}
Adresse Web (((ht|f)tp(s)?://)|www.){1}([\w-]+\.)+[\w-]+(/[\w- ./?%&=]*)?
Adresse IPv4 (25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[0-9]{1,2})(\.(25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[0-9]{1,2})){3}
Dates (?:\d{1,2}([\/\\-])\d{1,2}\1\d {4}|\d{4}([\/\\-])\d{1,2}\2\d{1,2})
Recherche par mot clé de tout le contenu ou d’artéfact
En plus des options de chaîne/d’expressions régulières, vous avez également l’option d’effectuer des recherches d’« Artéfact » ou de « Tout le contenu ».
La recherche d’«Artéfact » est la plus rapide des deux options et cherchera tout ce qui est collecté en tant qu’artéfact lors du traitement, y compris les conversations en ligne, les documents, les e-mails, etc. Il s’agit d’une excellente option lorsque la majeure partie de ce que vous souhaitez examiner constitue l’un de nos artéfacts.
La recherche « Tout le contenu » est une recherche plus approfondie dans l’ensemble du disque et qui ressemble à la façon dont les autres outils criminalistiques effectuent leurs recherches. Cette recherche n’indique pas réellement si le mot-clé est trouvé dans un certain artéfact ou une zone du disque, mais cherchera simplement la chaîne dans le type de codage qui est sélectionné et identifiera toute correspondance. Lorsque la recherche « Tout le contenu » est sélectionnée, cela vous permettra de choisir quels types de codage vous souhaitez inclure – en commençant par une recherche ASCII de base, mais en incluant également UTF-7, UTF-8, UTF-16, UTF-32 pour l’ensemble de la liste ou pour des mots-clés individuels.
Ce type de recherche peut prendre un peu plus de temps, selon le nombre de mots-clés que vous avez inclus et le nombre de types de codage que vous avez cochés. Alors, préparez-vous à une augmentation des délais de traitement.
Les recherches « Artéfact » et « Tout le contenu » présentent toutes les deux des avantages et des inconvénients. Les recherches d’artéfact sont beaucoup plus rapides et incluront du contenu issu des applications et des données susceptibles d’être chiffrées ou codées. Si AXIOM sait comment décoder ou déchiffrer le contenu, ces mots-clés seront alors collectés dans une recherche de mot-clé d’artéfact, mais ne seront peut-être pas détectés dans une recherche de tout le contenu effectuée par d’autres outils. Cependant, si le mot-clé est trouvé dans des données qui ne sont pas des artéfacts ou qui ne sont pas reconnues par AXIOM, il ne sera pas collecté dans une recherche d’artéfact. En revanche, la recherche de « Tout le contenu » prendra beaucoup plus de temps, car elle analyse l’ensemble du disque pour trouver chaque mot-clé dans chaque type de codage sélectionné, mais elle collectera des mots-clés supplémentaires qui ne sont pas trouvés dans un artéfact. Les deux recherches présentent une certaine valeur et utilité dans un dossier donné – c’est à l’examinateur de savoir quand utiliser quelle recherche dans certains scénarios.
Heureusement, si vous souhaitez effectuer une recherche supplémentaire après la fin du traitement, AXIOM Examine vous permet d’exécuter d’autres mots-clés lors de votre analyse.
Mots-clés dans AXIOM Examine
Afficher les mots-clés d’artéfact
Si vous avez traité votre dossier avec une recherche de mot-clé d’artéfact activée, vous pouvez afficher ces mots-clés dans l’explorateur d’artéfacts en allant dans le filtre Mots-clés dans la barre supérieure, en sélectionnant le menu déroulant et en choisissant la Liste de mots-clés que vous avez chargée ou les mots-clés individuels que vous souhaitez afficher.
Cette sélection appliquera un filtre et vous montrera uniquement les artéfacts qui présentaient des correspondances avec vos mots-clés sélectionnés. Les données qui correspondent aux critères seront mises en évidence dans les détails des métadonnées ou dans le contenu du fichier.
Afficher les mots-clés de tout le contenu/du système de fichiers
Si vous avez effectué une recherche « Tout le contenu » lors du traitement, vos mots-clés sont affichés de manière un peu différente. Étant donné qu’un grand nombre de ces mots-clés ne résident probablement dans aucun artéfact, une nouvelle catégorie d’artéfact est créée à côté de la colonne de gauche nommée « Extraits de mots clés ». Sélectionnez le mot-clé ou le groupe de mots-clés que vous souhaitez chercher et le système affichera toute correspondance de mot-clé ainsi qu’un extrait de donnée avant et après la correspondance du mot-clé. Vous obtiendrez également le type de codage sur lequel la correspondance a été établie et l’emplacement où le mot-clé a été trouvé.
Rechercher des mots-clés supplémentaires
Votre première recherche ne vous a peut-être pas fourni les résultats que vous espériez, ou vous avez peut-être reçu des mots-clés supplémentaires après avoir terminé le traitement et vous souhaitez les ajouter ultérieurement ; plusieurs options s’offrent à vous.
Si vous n’avez qu’un mot-clé ou deux que vous souhaitez chercher, une recherche rapide à l’aide de la barre de recherche de mot-clé située en haut à droite de votre écran vous permettra de rechercher rapidement n’importe quel artéfact (y compris le contenu de ces artéfacts comme des documents, des conversations en ligne et des e-mails) pour votre mot-clé correspondant et d’appliquer un filtre pour afficher uniquement ces correspondances. Toute correspondance dans les métadonnées ou le contenu de l’artéfact sera mise en évidence pour vous montrer rapidement les résultats appropriés.
Si vous avez plus que quelques mots-clés, il peut être judicieux d’ajouter une liste de mots-clés. Pour ce faire, allez dans le Filtre mots-clés en haut de votre écran et sélectionnez « Importer une liste de mots-clés » et vous pourrez la diriger vers un fichier de mots-clés tel qu’un fichier texte séparé par des lignes, comme nous l’avons fait lorsque nous les avons chargés dans AXIOM Process précédemment. Une recherche de ces mots-clés sera effectuée dans l’ensemble des artéfacts et ces mots-clés seront ajoutés à vos autres listes et mots-clés que vous avez précédemment cherchés.
Recherche de mot-clé dans l’explorateur du système de fichiers
Enfin, vous pouvez également effectuer des recherches de mot-clé à partir de l’explorateur du système de fichiers en utilisant la même case située dans le coin supérieur droit que vous avez utilisé dans l’explorateur d’artéfact.
Pour l’instant, cette recherche inclura uniquement les chemins d’accès des fichiers. C’est pourquoi, même si cette recherche est plutôt rapide, il ne s’agira pas d’une recherche binaire dans l’ensemble des fichiers. Nous cherchons à ajouter plus de fonctionnalité pour effectuer d’autres recherches binaires à partir d’ici, mais pour l’instant, vous devrez retraiter les preuves et utiliser l’option « Tout le contenu » pour effectuer d’autres recherches de mots-clés.
Des questions ? Veuillez me contacter à l’adresse jamie.mcquaid@magnetforensics.com.
Jamie McQuaid
