Différences

Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.

--- app_forensic [2012/06/26 14:10]
rooxy créée
+++ app_forensic [2017/04/09 15:33] (Version actuelle)
@@ Ligne 8: / Ligne 8: @@
   - générer un rapport et faire l'extraction des éléments pertinents
-Dans les challenges on trouve généralement des fichiers .pcap corresponadnt à la capture de trafic réseau sujet abordé en fin d'article/page.
+Dans les challenges on trouve généralement des fichiers .pcap correspondant à la capture de trafic réseau, sujet abordé en fin d'article/page.
 ===== Sécurisation de la preuve =====
@@ Ligne 14: / Ligne 14: @@
   - l'utilisation de bloqueurs en écriture matériels (ex: Tableau T35es, T8, ...)
   - l'utilisation de système de duplication spécialisé (ex: ICS SOLO 4, Tableau TD3)
-  - l'utilisation de distribution linux dédiée (ex: Caine, DEFT, SIFT, BackTrack en mode Forensic...)
+  - l'utilisation de distribution linux dédiée (ex: Caine, DEFT, SIFT, Helix, BackTrack en mode Forensic...)
+Sur les distribution linux grand-public le fait de connecter un disque peut entraîner son montage automatique, il faut faire attention à ne pas entrer de ce type de comportement. L'intégrité de la preuve peut être compromise.
+Un distribution dédiée (cf. liste ci-dessus) est vivement conseillée.
+La copie du disque peut être effectuée à l'aide de la commande:
+<code>dd if=/dev/nom_du_disque_à_copier of=nom_de_l'image bs=1M</code>
+en ayant pris soin, au préalable, de vérifier quel sont les noms attribués aux disques avec la commande:
+<code> sudo fdisk -l</code>
+Pour le transport sur un support amovible on peut directement "piper" le processus dans un tar.gz mais pour l'analyse si l'on peut conserver les accès disque uniquement pour l'analyse sans avoir besoin de décompresser à la volée c'est mieux.
+<code>dd if=/dev/nom_du_disque_à_copier | gzip -c9 > nom_de_l'image.gz </code>
+===== Pré-traitement =====
+==== Data Carving ====
+Le Data Carving c'est la recherche de fichiers basée sur leur signatures.
+Par exemple: un fichier JPEG standard commence par \xFF\xD8\xFF\xE0 et fini par \xFF\xD9
+Des outils permettent d'aller chercher dans les secteurs non-alloués du disque ou dans la slack (espace de chute) des fichiers à la recherche de signatures de fichiers connues afin de "reconstruire" les-dits fichiers.
+Par exemple:
+  - Scalpel
+  - Foremost
+  - PhotoRec
+  - Recover JPEG
+sont des outils permettant ce type d'opération.
+Une petite liste de signatures de fichiers est disponible en suivant ce [[http://www.garykessler.net/library/file_sigs.html|lien]]
+==== Analyse du système et de ses artefacts ====
+  - log2timeline
+  - vinetto (thumbs.db)
+  - galleta (cookie parser)
+  - libevt (evt parser)
+  - liblnk (lnk parser)
+  - rifiuti (INFO2 parser)
+===== Recherche =====
+GREP
+===== Génération de rapport =====
+===== Autres infos =====
+==== Other tools / Frameworks ====
+  - The Sleuth Kit
+  - Digital Forensic Framework
+  - libewf
+  - libpst
+==== Capture et Analyse de RAM ====
+voir article sur [[volatility|volatility]]
+==== Capture et Analyse de Trafic Réseau ====
+voir article sur [[Wireshark|Wireshark]]

Zenk - Security

Outils d'utilisateurs

Outils du Site

Différences

Outils de la Page