Cours Analyse Forensique P2 PDF
Document Details
Uploaded by CoherentVampire
Tags
Summary
This document is a presentation on forensic analysis methods, tools, and procedures. It covers various topics such as data acquisition, imaging, memory analysis, and volatile data collection.
Full Transcript
Les moyens Outils et ressources nécessaires pour une analyse forensique efficace. Que faire quoi collecter ? CCI - LEBON 29 Introduction aux outils et ressources nécessaires Présentation des principaux outils : EnCase, FTK,...
Les moyens Outils et ressources nécessaires pour une analyse forensique efficace. Que faire quoi collecter ? CCI - LEBON 29 Introduction aux outils et ressources nécessaires Présentation des principaux outils : EnCase, FTK, analyse de mémoire vive, clonage de disques. CCI - LEBON 30 Physical image vs Logical image CCI - LEBON 31 Write Blockers CCI - LEBON 32 Software Write Blockers CCI - LEBON 33 Hash Acquisition Hash Validation Hash CCI - LEBON 34 Forensic Image formats Raw (dd) Expert Witness (E01) CCI - LEBON 35 Hard drive acquisitions Dead box imaging with write blocker. Dead box imaging with bootable media. Live disk imaging. Imaging of virtual machines CCI - LEBON 36 Dead box imaging with write blocker Tools : – FTK Imager – EnCase Imager – Magnet Acquire – dd, ports and forks – ewfacquire CCI - LEBON 37 Dead box imaging with bootable media Approche : – Préparation du support de démarrage – Système de démarrage à partir d’un CD/DVD/USB – Attachez un stockage externe (par ex. HDD USB ou partage réseau) – Créer une image Tools: – Paladin – Tsurugi – Linux – N’importe quel Live CD Linux / dd CCI - LEBON 38 Dead box imaging with bootable media Challenge: – FDE – RAID CCI - LEBON 39 Live imaging RAID / Complexe FDE Tools: – FTK Imager – EnCase Imager CCI - LEBON 40 Live imaging Challenge – Traces de votre activité – La preuve est modifiée. – Impossible de vérifier le hachage d’une image – Une documentation appropriée est nécessaire pour que les preuves soient recevables devant le tribunal. CCI - LEBON 41 Imaging virtual machines Challenges: – La méthode exacte varie selon les applications et les versions de virtualisation. – Le processus d’instantané peut entraîner la création de plusieurs fichiers à plusieurs emplacements, qui doivent tous être collectés. – Les instantanés forment une chaîne, ce qui signifie que pour que le dernier soit utilisable, tous les instantanés précédents doivent être collectés. CCI - LEBON 42 Imaging virtual machines Méthode: – Snapshot => delta disk – Consolider les snapshot si possible – Collecter les fichiers (disques + mémoire) Exemple Vmware: – Créer un snapshot avec mémoire – Collecter RAM (fichier avec extension.vmsn ou.vmem ou.vmss) – Créer un clone à partir du snapshot (permet de consolider) – Collecter les fichiers.vmdk CCI - LEBON 43 Collecte de données volatiles RFC3227 Guidelines for evidence collection and archiving Remote Routing table, logging and ARPcache Physical monitoring CPU cache et process table, Temporary file configuration, Disk data that is Archival media registre kernel systems network relevant to the statistics, topology system in memory question CCI - LEBON 44 Collecte de données volatiles RFC3227 dicte: – Ne pas éteindre le système – Ne pas faire confiance aux programmes présents – Ne pas lancer de programme qui modifie l’access time des fichiers (tar, xcopy, etc…) CCI - LEBON 45 Données volatiles CCI - LEBON 46 Mémoire Windows: – Belkasoft Live RAM Capture – Magnet RAM Capture – MoonSols DumpIT – WinPmem (part of c-aff4 by Velocidex) – FTK Imager/Imager Lite Linux: – AVML (Acquire Volatile Memory for Linux) – LiME(Linux Memory Extractor) – LinPmem (part of c-aff4 by Velocidex) Mac OSX: – osxPmem(part of c-aff4 by Velocidex) Virtual Machines: – VMWare: *.vmem, *.vmss, *.vmsn – MS Hyper-V: *.bin – Parallels: *.mem CCI - LEBON 47 Réseau Windows: – ipconfig /all – ipconfig /displaydns – netstat –ano – netstat -b – TCPView(SysInternals) CCI - LEBON 48 Process Windows – tasklist/V – wmic process list (can use wmic query language) – wmic service list (can use wmic query language) – wmic job list full – PsList(SysInternal) CCI - LEBON 49 Utilisateurs Windows: – wmic netlogin(can use wmic query language) – wmic useraccount(can use wmic query language) – wmic sysaccount(can use wmic query language) – PsLoggedOn(SysInternals) CCI - LEBON 50 Fichiers dir/S /A /R /O:D /T:C C:\ dir/S /A /R /O:D C:\ fls–r \\.\C: > file_listing.fls(Sleuthkit) FTK Imager Lite CCI - LEBON 51 Persistance autorunsc-a -c (SysInternals) wmic service (can use wmic query language) schtasks/query /v wmic startup (can use wmic query language) CCI - LEBON 52 Logs Windows Event Logs Anti-Virus Client and HIPS Logs Scheduled Tasks Log (schedlgu.txt) Prefetch Files Registry files: System, SAM, Security, Software, Ntuser.dat Application compatibility cache CCI - LEBON 53 Outils LRC CCI - LEBON 54 TP CCI - LEBON 55
