Louafi, Habib
(2006).
« Détection et exploitation des copies partielles afin de faciliter l'analyse forensique d'un système de fichiers » Mémoire.
Montréal (Québec, Canada), Université du Québec à Montréal, Maîtrise en informatique.
Fichier(s) associé(s) à ce document :
Résumé
La forensique informatique, connue sous le terme anglais
« computer forensic », est le domaine de recherche qui s'intéresse aux enquêtes après incidents. Elle représente l'ensemble des principes scientifiques et des méthodes techniques appliquées à l'investigation criminelle pour prouver l'existence d'un crime et aider la justice à déterminer l'identité de l'auteur et son mode opératoire. Les investigateurs, dans leurs enquêtes, utilisent des outils matériels ou logiciels. Les outils logiciels sont des outils d'acquisition qui servent à copier d'importantes quantités de données à partir de l'ordinateur saisi, et des outils d'analyse de preuves. En examinant les différents outils de la forensique informatique nous avons constaté l'absence et la nécessité d'un outil logiciel pour localiser les copies légèrement modifiées d'un fichier texte (copies partielles). En forensique informatique, la recherche de copies partielles d'un fichier texte contenant des informations douteuses peut aider grandement un investigateur à localiser la version originale de ce fichier à partir de la copie disponible, sachant que cette copie a, peut-être, été légèrement modifiée. Après une recherche approfondie, nous avons constaté qu'une solution possible à ce problème vient combler un vide entre les outils classiques de recherche de copies identiques de fichiers utilisant les fonction de hachage (MD5, SHA-I, etc.) et les outils de comparaison de fichiers ligne par ligne ou encore caractère par caractère. Notre travail a consisté à concevoir, développer et présenter à la communauté de la forensique informatique un outil logiciel qui sert à localiser les copies partielles d'un fichier texte dans un système de fichiers. Pour ce faire, nous avons adapté certains algorithmes d'alignement, utilisés en bioinformatique, pour comparer deux fichiers textes. Nous avons défini un seuil d'acceptation servant à distinguer les copies intéressantes (pour l'investigation) des autres fichiers. L'outil que nous avons développé utilise deux algorithmes d'alignement de séquences (global et local) conçus au départ pour trouver les similarités entre les séquences protéique ou nucléotidiques ainsi qu'un troisième algorithme d'alignement conçu pour résoudre un problème lié à la détection d'intrusion (semi-global). Nous avons aussi défini un alignement automatique: en se basant sur la différence de tailles entre les fichiers comparés, l'outil choisira automatiquement le type d'alignement à utiliser, à savoir, global ou local. Nous avons testé cet outil sur un ensemble de fichiers textes sélectionnés au hasard et les résultats montrent que cette approche a vraiment permis de trouver une solution efficace au problème de détection de copies partielles d'un fichier texte. D'autre part, nous avons comparé notre outil avec les outils de comparaison de fichiers disponibles et nous avons constaté qu'aucun de ces outils ne donne de résultats comparables. ______________________________________________________________________________ MOTS-CLÉS DE L’AUTEUR : Forensique informatique, Copie partielle, Comparaison de fichiers, Alignement de séquences, Bioinformatique.
| Type: |
Mémoire accepté
|
| Informations complémentaires: |
Le mémoire a été numérisé tel que transmis par l'auteur. |
|
Directeur de thèse: |
Bégin, Guy |
| Mots-clés ou Sujets: |
Informatique judiciaire, Logiciel |
| Unité d'appartenance: |
Faculté des sciences > Département d'informatique |
| Déposé par: |
RB Service des bibliothèques
|
| Date de dépôt: |
07 juin 2010 18:31 |
| Dernière modification: |
26 sept. 2018 10:02 |
| Adresse URL : |
http://archipel.uqam.ca/id/eprint/3050 |
![[img]](http://archipel.uqam.ca/style/images/fileicons/application_pdf.png)
RECHERCHER
PARCOURIR
LIBRE ACCÈS
