Récupéré des données – Beatryx Beugnet

Première étape : Copie de notre disque et de notre mémoire vive

Sur windows :

Afin de récupéré respectivement la mémoire vive et le disque, il est possible de faire ceci grace à deux outils : winpmem_mini_x64_rc2.exe et dd.exe.

winpmem_mini_x64_rc2.exe

Avec winpmem_mini_x64_rc2.exe, vous pouvez récupérer le contenue de la mémoire vive avec cette commande suivante. Je conseille l’extension de fichier Raw puisque généralement la mémoire vive est assez imposante. Par exemple, si votre ordinateur fait du 8Go de ram, votre fichier fera 8Go.

winpmem_mini_x64_rc2.exe LENOMDUFICHIERQUETUVEUX.RAW

dd.exe

Avec dd.exe, vous pouvez cloner le disque avec cette commande suivante. Je conseille l’extension de fichier dmg pour disk image.

dd.exe if=LAPARTITIONQUETUVEUX of=L'ENDROITQUETUVEUXMETTRELACOPIE.dmg bs=17408 --progress

Seconde étape : Comment récupérer des données

Avec volatility: (pour la Mémoire vive)

python2 vol.py -f LIMMAGEDELARAM.RAW imageinfo

avec Testdisk ? (pour les disque Dur)

La récupération de données avec Testdik peut se faire avec cette commande.

testdisk TACOPIEDETONDISQUE.dmg