Commande, Prix:
  En ligne
 
  Mises à jour
 
Produits
 
X-Ways Forensics X-Ways Forensics
Expertises informatiques
 
Find out more about X-Ways Investigator X-Ways Investigator
Investigator version of X-Ways Forensics
 
Pour en savoir plus sur WinHex WinHex
Editeur hexa et éditeur de disque
 
Pour en savoir plus sur X-Ways Imager X-Ways Imager
Disk imaging
 
Pour en savoir plus sur X-Ways Capture X-Ways Capture
Seize media
 
Pour en savoir plus sur X-Ways Trace X-Ways Trace
Utilisation de PC
 
Pour en savoir plus sur Davory Davory
Récupération
 
Pour en savoir plus sur X-Ways Security X-Ways Security
Effacement sécurisé
 
Services
 
Formation
 

 
Contacter X-Ways Contact
Forum
 
Plus sur X-Ways Plus sur X-Ways
Find us on Facebook Find us on Facebook
  X-Ways Software Technology AG
English
Deutsch
 
 

Evidor: Recherche de preuves électroniques

No longer maintained since 2004, superseded by X-Ways Investigator.

Evidor 1.23

Copyright by
X-Ways AG

Idée de
Jerry Saperstein

White Paper (PDF)

Logiciel destiné aux avocats, les spécialistes de la sécurité TI, enquêteurs assermentés, et les agences chargées de l'application des lois.

Fonctionnalité

Evidor récupère le contexte des occurences de mots-clés sur les supports informatiques, non seulement en examinant tous les fichiers (tout l'espace alloué, même les fichiers swap/paging/hibernate de Windows), mais aussi l'espace actuellement non alloué et ce qu'on appelle l'espace chutes (slack space). Ceci veut dire que des données peuvent être trouvées dans des fichiers effacés, s'ils existent toujours physiquement. Evidor is a small subset of just the search functionality in X-Ways Forensics. Please note that Evidor cannot access remote networked hard disks. 

Découverte et acquisition de preuves électroniques

Evidor fournit aux enquêteurs un moyen particulièrement facile et pratique de trouver et collecter des preuves numériques sur supports informatiques. Evidor est pratique également pour les litiges entre deux parties, quand l'une des parties souhaite examiner (inspecter) les ordinateurs de la partie adverse. Evidor peut-être utilisé sur site pour les recherches d'informations électroniques, ne révèle normalement pas d'informations propriétaires ou confidentielles sans rapport avec l'objet de la recherche et n'impose pas une lourde charge en terme de personnel, de temps passé ou d'argent. Evidor agit comme expert légal automatisé et peut vous épargner le coût de nombreuses heures de recherche manuelle difficile. Evidor produit des résultats fiables, reproductibles, neutres et simples, tels qu'en demande un tribunal.

Sécurité TI

Evidor est aussi un excellent instrument pour prouver la présence ou l'absence de données confidentielles sur des supports informatiques, que ce soit pour détecter une faille de sécurité ou en confirmer l'inexistence. Grâce à Evidor vous trouverez souvent des fragments (ou même des exemplaires intacts) de données classées qui auraient du être cryptées, effacées de façon sûre, ou n'auraient pas du se trouver du tout sur le support. 

Autres Outils

Les produits suivants sont inclus dans Evidor: un outil très puissant pour la récupération de données (Davory, licence professionnelle), un outil qui déchiffre le fichier interne d'historique/cache d'Internet Explorer index.dat (X-Ways Trace) et un outil de clonage de disque dur sous DOS (X-Ways Replica).

Important: For more up to date and more powerful, yet still relatively easy to use search functionality (and a lot of other functionality such as viewing, printing, and commenting on documents, extracting metadata, report creation), we now recommend X-Ways Investigator. If you only need search functionality and is has to be as simple as possible, then Evidor might still be better.

 

Lettre d'information
Vous souhaitez être informé des mises à jour? Veuillez entrer votre adresse email:

 

Utilisation et résultat d'Evidor

Sélectionnez un disque dans Evidor et fournissez une liste de mots-clés (tels que noms de personnes, adresses électroniques, noms de drogues illégales, etc.) Evidor retrouvera le contexte de chaque occurrence des termes recherchés sur le disque et en écrira la liste dans un fichier de rapport dont vous spécifierez le nom. Dans ce fichier vous trouverez certainement du texte provenant de documents qui ont un rapport étroit avec les mots-clés, par example des bons de commandes, messages électroniques, carnets d'adresses, emplois du temps etc. Evidor vous indiquera où exactement un mot-clé a été trouvé (par exemple dans un fichier, dans l'espace chutes, ou dans l'espace libre).

Evidor peut produire au choix des documents HMTL (recommandé) ou des fichiers de simple texte. Les documents HTML peuvent être facilement importés et retravaillés dans MS Excel (il suffit de glisser-déplacer ces fichiers de l'Explorateur de Windows vers la fenêtre principale d'Excel.) Dans MS Excel vous pourrez trier les occurences des mots recherchés par mots ou par emplacements, supprimer les résultats non pertinents, etc. A cause du formatage HTML, le caractère "<" est remplacé par "[" dans les données extraites à chaque fois qu'il y est trouvé. Les fichiers de simple texte peuvent être vus dans tout éditeur de texte, MS Word, etc. Toutes les occurences sont séparées dans le fichier de sortie par des sauts de ligne et une ligne de six asterisques et le mot-clé correspondant.

Exemples

This sample output HTML file created by Evidor shows occurrences of the city names “Los Angeles”, “San Francisco”, “New York”, “London”, and “Paris” on a user's drive F:. These names occur in postal addresses, as company headquarters, as font descriptions, etc.

This sample output plain text file shows all occurrences of an Internet URL (here: http://www.microsoft.com) on a user's hard drive. Evidor quotes the context from temporary Internet files (browser cache), from Internet Explorer's hidden log file (which memorizes all visited web sites), and from free space (apparently previously allocated to the browser's cache).

Capture d'écran

DOS-based disk cloning tool included

II est recommandé d'utiliser X-Ways Replica, sous DOS, pour créer un clone du disque à examiner. Most Windows environments tend to access a newly attached drive without asking, thereby e.g. altering the last access dates of some files. This is avoided under DOS. Ensuite travaillez sur le clone. Attachez-le à un ordinateur comme disque secondaire. X-Ways Replica

 

Related software: X-Ways Forensics

 

What's?

v1.2

  • Evidor is now available in French.
  • Report file starts with a full description of the media examined (drive model number, serial number, etc.)
  • Search terms within extracted context marked in blue in HTML output

v1.01

  • Error fixed that caused Evidor to report wrong sector numbers in some cases.
  • Exact offset (address) of each occurrence is reported, in decimal notation.