Outils d'utilisateurs

Outils du Site


methodologie_et_outils_libres

Forensic (Méthodologie et Outils Libres)

Le Forensic (sous entendu Computer Forensic), en français appelé analyse forensique ou plus souvent investigation numérique, est l'art et la technique d'analyser un système mort (ordinateur, téléphone portable …) dans le but d'en sortir les éléments de preuves.

La méthodologie générale est la suivante:

  1. sécuriser la preuve (le plus souvent en réalisant une image disque)
  2. effectuer les étapes de pré-traitement
  3. lancer les recherches
  4. générer un rapport et faire l'extraction des éléments pertinents

Dans les challenges on trouve généralement des fichiers .pcap correspondant à la capture de trafic réseau, sujet abordé en fin d'article/page.

Sécurisation de la preuve

Le but est de préserver la preuve, c'est-à-dire qu'un branchement du support à analyser sur un système standard n'est pas envisageable. Plusieurs solutions sont envisageables :

  1. l'utilisation de bloqueurs en écriture matériels (ex: Tableau T35es, T8, …)
  2. l'utilisation de système de duplication spécialisé (ex: ICS SOLO 4, Tableau TD3)
  3. l'utilisation de distribution linux dédiée (ex: Caine, DEFT, SIFT, Helix, BackTrack en mode Forensic…)

Sur les distribution linux grand-public le fait de connecter un disque peut entraîner son montage automatique, il faut faire attention à ne pas entrer de ce type de comportement. L'intégrité de la preuve peut être compromise. Un distribution dédiée (cf. liste ci-dessus) est vivement conseillée. La copie du disque peut être effectuée à l'aide de la commande:

dd if=/dev/nom_du_disque_à_copier of=nom_de_l'image bs=1M

en ayant pris soin, au préalable, de vérifier quel sont les noms attribués aux disques avec la commande:

 sudo fdisk -l

Pour le transport sur un support amovible on peut directement “piper” le processus dans un tar.gz mais pour l'analyse si l'on peut conserver les accès disque uniquement pour l'analyse sans avoir besoin de décompresser à la volée c'est mieux.

dd if=/dev/nom_du_disque_à_copier | gzip -c9 > nom_de_l'image.gz 

Pré-traitement

Data Carving

Le Data Carving c'est la recherche de fichiers basée sur leur signatures. Par exemple: un fichier JPEG standard commence par \xFF\xD8\xFF\xE0 et fini par \xFF\xD9 Des outils permettent d'aller chercher dans les secteurs non-alloués du disque ou dans la slack (espace de chute) des fichiers à la recherche de signatures de fichiers connues afin de “reconstruire” les-dits fichiers. Par exemple:

  1. Scalpel
  2. Foremost
  3. PhotoRec
  4. Recover JPEG

sont des outils permettant ce type d'opération. Une petite liste de signatures de fichiers est disponible en suivant ce lien

Analyse du système et de ses artefacts

  1. log2timeline
  2. vinetto (thumbs.db)
  3. galleta (cookie parser)
  4. libevt (evt parser)
  5. liblnk (lnk parser)
  6. rifiuti (INFO2 parser)
  7. python-registry (windows registry parser: https://github.com/williballenthin/python-registry )

Recherche

GREP

Génération de rapport

Autres infos

Other tools / Frameworks

  1. The Sleuth Kit
  2. Digital Forensic Framework
  3. libewf
  4. libpst

Capture et Analyse de RAM

Capture et Analyse de Trafic Réseau

Cas pratiques

Ce site propose des cas pratiques très intéressants: http://www.cfreds.nist.gov/ Ci-dessous deux de ces cas ainsi que des éléments de réponses:

  • Hacking case, ce cas pratique propose une analyse d'image d'un système Windows XP.
  • Rhino hunt, ce cas propose l'analyse de logs réseaux et de file carving.
methodologie_et_outils_libres.txt · Dernière modification: 2017/04/09 15:33 (modification externe)