Le Forensic (sous entendu Computer Forensic), en français appelé analyse forensique ou plus souvent investigation numérique, est l'art et la technique d'analyser un système mort (ordinateur, téléphone portable …) dans le but d'en sortir les éléments de preuves.
La méthodologie générale est la suivante:
Dans les challenges on trouve généralement des fichiers .pcap correspondant à la capture de trafic réseau, sujet abordé en fin d'article/page.
Le but est de préserver la preuve, c'est-à-dire qu'un branchement du support à analyser sur un système standard n'est pas envisageable. Plusieurs solutions sont envisageables :
Sur les distribution linux grand-public le fait de connecter un disque peut entraîner son montage automatique, il faut faire attention à ne pas entrer de ce type de comportement. L'intégrité de la preuve peut être compromise. Un distribution dédiée (cf. liste ci-dessus) est vivement conseillée. La copie du disque peut être effectuée à l'aide de la commande:
dd if=/dev/nom_du_disque_à_copier of=nom_de_l'image bs=1M
en ayant pris soin, au préalable, de vérifier quel sont les noms attribués aux disques avec la commande:
sudo fdisk -l
Pour le transport sur un support amovible on peut directement “piper” le processus dans un tar.gz mais pour l'analyse si l'on peut conserver les accès disque uniquement pour l'analyse sans avoir besoin de décompresser à la volée c'est mieux.
dd if=/dev/nom_du_disque_à_copier | gzip -c9 > nom_de_l'image.gz
Le Data Carving c'est la recherche de fichiers basée sur leur signatures. Par exemple: un fichier JPEG standard commence par \xFF\xD8\xFF\xE0 et fini par \xFF\xD9 Des outils permettent d'aller chercher dans les secteurs non-alloués du disque ou dans la slack (espace de chute) des fichiers à la recherche de signatures de fichiers connues afin de “reconstruire” les-dits fichiers. Par exemple:
sont des outils permettant ce type d'opération. Une petite liste de signatures de fichiers est disponible en suivant ce lien
GREP
voir article sur volatility
Ce site propose des cas pratiques très intéressants: http://www.cfreds.nist.gov/ Ci-dessous deux de ces cas ainsi que des éléments de réponses: