





INTERNET EVIDENCE FINDER
Internet Evidence Finder (IEF) est une solution d’investigation numérique dédiée à la recherche de traces internet se trouvant aussi bien sur le disque dur que dans la RAM.
Conçu pour les enquêteurs spécialisés en cybercriminalité, il est aussi utilisé par les responsables de sécurité informatique.
Bien qu’IEF ait été créé de manière à satisfaire les besoins les plus pointus, il a également été conçu de façon intuitive : il est donc très facile à utiliser quel que soit votre niveau informatique.
Pourquoi choisir IEF ? Pour la puissance de la recherche et la qualité de son rapport.
IEF permet de récupérer :
- Les données des réseaux sociaux
- (Mur, photos, groupes Facebook ; les tweets ; les chats Myspace, chats Google +)
- L’historique de messageries instantanées
- Les données des webmails les plus utilisés
- L’historique des navigateurs
- Les données des programmes de Peer2Peer
- filtre les faux positifs
Où et comment sont effectuées les recherches ? :
- Dans tous les disques physiques et logiques (image .e01 ou dd)
- Par carving dans les espaces non alloués ou effacés
- Dans des fichiers sélectionnés (fichiers pagefile.sys / hiberfil.sys et d’autres)
- Dans les dumps de RAM et les captures PCAP
- Dans tous les dossiers et sous dossiers sélectionnés par l’utilisateur
Une seule recherche suffit pour avoir accès à toute l’activité internet sans avoir à essayer des mots clés, extraire des données manuellement ou lancer des scripts individuels. C’est la chose la plus proche du bouton « trouver la preuve ».
Un rapport riche et compréhensible
- Possibilité de recherche pré-définie
- Rechercher, filtrer, et marquer les pages de résultats
- Possibilité de régler des alertes lors de correspondance de mots clé
- Résultats immédiat
- Exportation facile du rapport
Les rapports sont générés automatiquement mais sont aussi personnalisables.
Nouvelle édition triage
- Le même produit que l’édition standard avec des fonctionnalités supplémentaires
- IEF peut être lancé depuis le dongle USB sans avoir à être installer sur l’ordinateur
- Peut être lancé sur des systèmes en fonctionnement, sur le terrain
- Est capable de capturer la RAM sans avoir à utiliser un autre logiciel
- Contient un dongle USB de 16 Go pour sauvegarder les résultats de la recherche
- Possibilité de recherches rapides
- Vérifie automatiquement le chiffrement du disque (TrueCrypt, PGP, BitLocker & SafeBoot)
- Les Volume Shadow Copies peuvent être montées et inspectées.
LES CARACTERISTIQUES D’IEF STANDARD ET TRIAGE
Caractéristiques |
IEF v5 Standard |
IEF v5 Triage |
Nombre d’artéfacts |
45 |
45 |
Recherche au niveau des secteurs |
♦ |
♦ |
Recherche dans des fichiers / dossiers sélectionnés |
♦ |
♦ |
Recherche rapide |
♦ |
♦ |
Recherche complète |
♦ |
♦ |
Recherche parmi les secteurs non alloués uniquement |
♦ |
♦ |
Nouvelle interface simplifiée |
♦ |
♦ |
Détection du système de fichiers |
♦ |
♦ |
La MFT est inspectée pour rechercher les fichiers effacés sur les disques en NTFS |
♦ |
♦ |
Report Viewer |
♦ |
♦ |
Les logs Yahoo Messenger sont examinés sans demander le nom d’utilisateur |
♦ |
♦ |
Les données compressées des fichiers Hiberfil.sys, sont décompressées à la volée pendant la recherche |
♦ |
♦ |
Algorithmes de recherche améliorés |
♦ |
♦ |
Le texte Unicode Facebook est décodé |
♦ |
♦ |
Peut accéder et rechercher les fichiers verrouillés par un mot de passe |
♦ |
♦ |
Recherche parmi les clusters non alloués ou l’espace libre uniquement |
♦ |
♦ |
Montage des images natif |
♦ |
♦ |
Nouveau Report Viewer avec des options de recherche, de filtrage, d’alerte et de signets. Support de l’unicode. |
♦ |
♦ |
Sélection multiple de disques / volumes |
♦ |
♦ |
Interface de gestion des bases SQLite |
♦ |
♦ |
Nouvelles fonctionnalités de recherche personnalisables et simplifiées |
♦ |
|
Option de recherche de mise à jour automatique |
♦ |
♦ |
Localisation physique des artéfacts (et non pas logique) |
♦ |
♦ |
Jusqu’à 20% plus rapide que les autres versions |
♦ |
♦ |
Peut être lancé depuis la clé usb sans être installé sur le poste |
♦ |
|
Montage des Volume Shadow Copies : système démarré, recherche rapide ou approfondie (au niveau du secteur) |
♦ |
|
Création d’image disque |
♦ |
|
Capture de la RAM (32 et 64 bits) |
♦ |
|
Vérification automatisée du chiffrement |
♦ |
|
Mode furtif |
♦ |
|
Taille du dongle / clé usb contenant IEF |
1 GB |
16 GB |