Méthodologie OSCAR en Investigation Numérique

Questions and Answers

Quel type de contenu représente un nombre sur 64 bits dans le registre?

• REG_BINARY
• REG_DWORD
• REG_QWORD (correct)
• REG_SZ

Quel outil est utilisé pour capturer la mémoire vive sous Windows?

• PSinfo
• Access FTK Imager (correct)
• Recuva
• LogonSessions

Quelle est la fonction de l'outil netstat?

• Lister les fichiers ouverts
• Récupérer la liste des processus actifs
• Afficher les connexions réseau actives (correct)
• Analyser des données numériques

Quel type de registre est situé à C:\Windows\system32\config\SOFTWARE?

SOFTWARE (D)

Quelle option décrit correctement REG_EXPAND_SZ?

Chaîne de caractères faisant référence aux variables d’environnement (C)

Quel est l'objectif principal de l'outil OSForensics?

Extraire et analyser des données numériques (D)

Quel type de données est représenté par REG_MULTI_SZ?

Un tableau de chaînes de caractères (A)

Quelle commande permet de lister l'ensemble des connexions réseau actives?

TCPview (B)

Quel est le but principal de la méthode OSCAR dans l'analyse forensique ?

Collecter et analyser des données de manière systématique (B)

Quelle capacité permet le système de fichiers NTFS par rapport aux autres systèmes ?

Prise en charge de partitions de plus de 2 To (D)

Dans quel registre Windows trouve-t-on les informations sur les types de fichiers ?

HKCR (A)

Quel type d'analyse est réalisé sur la mémoire morte ?

Analyse à froid (C)

Quel est le rôle principal de la chaîne de custodie dans les enquêtes numériques ?

Assurer la traçabilité et la préservation des preuves (A)

Quel est le premier élément du processus de démarrage de Windows ?

BIOS Legacy (A)

Quel système de fichiers est principalement utilisé pour les systèmes d'exploitation Linux ?

Ext3 et Ext4 (B)

Quel outil Windows permet d'afficher les informations de registre ?

Regedit (C)

Flashcards are hidden until you start studying

Study Notes

Méthodologie OSCAR

• La méthode OSCAR est une approche structurée de l'investigation numérique.
• Elle comprend cinq phases : Obtenir, Stratégiser, Collecter, Analyser et Rendre compte.
• Obtenir : collectez des informations sur la nature du crime, le système d'exploitation et le système de fichiers.
• Stratégiser : définissez une stratégie pour votre processus d'enquête.
• Collecter : collectez des preuves numériques en utilisant des méthodes appropriées et en respectant la chaîne de custody.
• Analyser : examinez en profondeur les données collectées pour trouver des éléments probants.
• Rendre compte : produisez un rapport clair et concis, compréhensible par des personnes non expertes, résumant les conclusions de l'enquête.

Types d'analyse

• Analyse à froid : analyse approfondie des données stockées sur des supports de stockage non volatils (comme les disques durs).
• Analyse à chaud : analyse des données en mémoire vive (RAM) et des processeurs pour capturer l'activité en temps réel.
• Analyse en temps réel : capture du trafic réseau pour comprendre l'activité réseau.

Chaîne de Custody

• La chaîne de custody est un processus critique pour la préservation, la traçabilité et la documentation continue des preuves numériques.
• Elle assure l'intégrité des preuves et permet de démontrer leur authenticité devant un tribunal.
• La Blockchain est un système de stockage et de traçabilité fiable qui peut être utilisé pour maintenir la chaîne de custody.

Windows Forensics

Systèmes de Fichiers

• NTFS : système de fichiers utilisé par les systèmes d'exploitation Windows avant 2012. Il est basé sur la MTF (Master File Table).
• ReFS : système de fichiers introduit dans Windows à partir de 2012, conçu pour améliorer la fiabilité et la performance.
• FAT : système de fichiers utilisé pour les clés USB, disques externes et autres périphériques de stockage amovibles.
• Ext3 et Ext4 : systèmes de fichiers utilisés dans les systèmes d'exploitation Linux.

Avantages de NTFS

• Prise en charge de partitions supérieures à 2 To.
• Possibilité de gérer des fichiers de grande taille.
• Fonctionnalités de sécurité intégrées.
• Vitesse de performance élevée.

La commande ntfsinfo c: fournit des informations détaillées sur le système de fichiers NTFS sur le lecteur C:.

Le processus de Démarrage

• BIOS Legacy : programme de démarrage hérité qui initialise le système et charge le système d'exploitation.
• Démarrage de Windows : le système d'exploitation Windows est chargé à partir du disque dur.
• Chargement du noyau : le noyau (kernel) de Windows est chargé en mémoire.
• Initialisation du noyau : le noyau initialise les pilotes et les services système.
• Services et session : les services système sont démarrés et la session utilisateur est lancée.

Le Registre Windows

• Le registre Windows est une base de données qui stocke des informations sur le système d'exploitation, la configuration du matériel, les paramètres des utilisateurs et les applications.

Le Registre et ses Sous-Arborescences

• HKCR (HKEY_CLASSES_ROOT) : contient des informations sur les types de fichiers et leurs associations.
• HKCU (HKEY_CURRENT_USER) : stocke les paramètres et préférences de l'utilisateur connecté.
• HKLM (HKEY_LOCAL_MACHINE) : stocke les paramètres système pour tous les utilisateurs.
• HKU (HKEY_USERS) : stocke les paramètres pour tous les utilisateurs, chaque utilisateur ayant son propre dossier.
• HKCC (HKEY_CURRENT_CONFIG) : contient des informations sur la configuration matérielle actuelle.

Le Hive

• Un hive est une partie de la base de registre qui contient des données de configuration et de paramètres pour le système d'exploitation et les applications.
• Les fichiers hive sont localisés dans le répertoire C:\Windows\system32\config.
• Il existe 5 hives principaux :
  • SYSTEM : C:\Windows\system32\config\SYSTEM
  • SOFTWARE : C:\Windows\system32\config\SOFTWARE
  • SECURITY : C:\Windows\system32\config\SECURITY
  • SAM : C:\Windows\system32\config\SAM
  • DEFAULT : C:\Windows\system32\config\DEFAULT
• Les fichiers hive peuvent être sauvegardés dans le dossier C:\Windows\system32\config\regback pour la récupération des données en cas de problème.

Types de Données de Registre

• REG_NONE : Non défini.
• REG_SZ : Chaîne de caractères.
• REG_EXPAND_SZ : Chaîne de caractères faisant référence aux variables d'environnement.
• REG_BINARY : Información binaire affichée en hexadecimal.
• REG_DWORD : Un nombre sur 32 bits (utilisé comme booléen: enabled / disabled).
• REG_DWORD_BIG_ENDIAN : Un dword en format big_endian (premier octet significatif).
• REG_MULTI_SZ: Tableau de chaîne de caractères.
• REG_QWORD : Nombre sur 64 bits.

Outils d'Investigation sur Windows

• Access FTK Imager : capture la mémoire vive d'un système.
• PSlist : récupère des informations sur un système comme le nom de l'OS, la version, l'utilisateur actuel, etc.
• PSinfo : affiche la liste des processus actifs.
• Netstat : affiche les connexions réseau actives.
• PSFile : affiche les fichiers ouverts localement et à distance.
• Recuva : restaure des données supprimées de manière "permanente" (fichiers supprimés marqués comme espace libre par le système d'exploitation).
• TCPView : liste l'ensemble des connexions réseau actives, ce qui peut aider à identifier les backdoors.
• LogonSessions : affiche la liste des sessions actives.
• WirelessKeyView : affiche les clés wifi stockées sur un système.
• WebBrowserPassView : récupère les mots de passe utilisés pour les navigateurs Web.
• OSForensics : fournit des outils pour extraire, examiner et analyser des données numériques, telles que les fichiers supprimés, l'historique de navigation et l'historique des activités.

Outils d'Investigation sur Linux

• Autopsy : permet d'examiner des disques durs et des systèmes de fichiers, d'analyser des données numériques et de collecter des preuves.
• Volatility : extrait et analyse des données à partir d'images de mémoire vive (RAM).
• Binwalk tool : extrait et analyse les composants d'images firmware pour identifier les vulnérabilités ou des données cachées.