Résumé du Cours Forensic PDF
Document Details
Wafaa
Tags
Related
- CSF 3403 - Digital Forensics and Investigation - Chapter 4 - Processing Crime and Incident Scenes PDF
- King Fahd University Of Petroleum & Minerals Computer Forensics Lectures 05-07 PDF
- King Fahd University of Petroleum & Minerals SEC524 Computer and Network Forensics Lectures 11 and 12 PDF
- Principles of Digital Forensics PDF
- OS Forensics Study Notes PDF
- Digital Forensics - Chương 1 (PDF)
Summary
Ce document résume un cours sur la forensic informatique, couvrant des sujets comme les méthodes OSCAR, les types d'analyse (froid, chaud, temps réel), la chaîne de responsabilité des preuves et les outils Windows et Linux utilisés pour les enquêtes.
Full Transcript
Resume du cours Forensics -Methode OSCAR : O : Obtain ( collecte d’info , ex: Nature de crime, OS, Sys de fichier..) S : Strategize ( faire une strategies pour ce processus) C : Collect (Evidence) ( Chaine de Custody) A : Analyze ( Analyse des donnees collectees)...
Resume du cours Forensics -Methode OSCAR : O : Obtain ( collecte d’info , ex: Nature de crime, OS, Sys de fichier..) S : Strategize ( faire une strategies pour ce processus) C : Collect (Evidence) ( Chaine de Custody) A : Analyze ( Analyse des donnees collectees) R : Report ( generer un rapport compréhensible par des personnes non expertes ) -Types d’analyse: Analyse a froids : sur memoire morte Analyse a chauds : sur memoire vive /processeurs Temps Reel : Capture de Trafic Reseau -La chaîne de custody: le processus de préservation, traçabilité et documentation continue des preuves numériques depuis leur collecte jusqu’à leur présentation en justice. ( base sur Blockchain) Windows Forensics: Sys de fichier : -NTFS : Systeme de fichier de OS windows avant 2012 ( base sure : MTF Master File Table) -ReFS : Systeme de fichier de OS Windows depuis 2012 -FAT : Systeme de fichier pour les clés USB -Ext3 et Ext4 : Systeme de fichier pour les OS Linux -Avantages NTFS: -partitions de plus de 2 TO -Fichier de grande taille -Securite -Rapidite -Pour infos sur ntfs : commande ntfsinfo c: Boot : 1-BIOS Legacy (hérité) 2-Démarrage de Windows 3-Chargement du noyau (kernel) 4-Initialisation du noyau 5-Services et session Les Registres Windows : base de donnes qui contient infos sur: OS, time zone, comptes utilisateurs… -Regedit :outil de Windows qui permet d’afficher les infos de chaque registre. -Les Sous-arborescence de ces registres : HKCR (HKEY_CLASSES_ROOT) : Informations sur les types de fichiers et leurs associations. HKCU (HKEY_CURRENT_USER) : Paramètres et préférences de l'utilisateur connecté. HKLM (HKEY_LOCAL_MACHINE) : Paramètres système pour tous les utilisateurs. HKU (HKEY_USERS) : Paramètres pour tous les utilisateurs, chaque utilisateur a son propre dossier. HKCC (HKEY_CURRENT_CONFIG) : Informations sur la configuration matérielle actuelle de l'ordinateur. -Hive : une partie de la base de registre qui contient des données de configuration et de paramètres pour le système d'exploitation et les applications. ( backup de Hive : C:\Windows\system32\config\regback) -Il y a 5 Hive : -SYSTEM localise a :C:\Windows\system32\config\SYSTEM -SOFTWARE localise a :C:\Windows\system32\config\SOFTWARE -SECURITY localise a :C:\Windows\system32\config\SECURITY -SAM localise a : C:\Windows\system32\config\SAM Types de Contenu des sous-registres : -REG_NONE : Non définie -REG_SZ : Chaîne de caractères -REG_EXPAND_SZ : Chaîne de caractères faisant référence aux variables d’environnement -REG_BINARY : Information binaire affichée en hexa -REG_DWORD : Un nombre sur 32 bits (utilisé comme booléen: enabled / disabled) -REG_DWORD_BIG_EN DIAN : un dword en format big_endian (premier octet significatif) -REG_MULTI_SZ: Tableau de chaîne de caractères -REG_QWORD : Nombre sur 64 bits 53 Outils Sur Windows : -Access FTK Imager : capturer la mémoire vive -PSlist : récupérer d’infos sur un système (OS, version, utilisateur, etc.). -PSinfo : récupérer la liste des processus actifs -netstat : afficher les connexions réseau actives -PSfile : afficher les fichiers ouverts localement et à distance -Recuva : restauration des données supprimés de façon « permanente » (e.g., fichiers supprimés) et marqués par le système d'exploitation comme espace libre -TCPview : lister l’ensemble des connexions réseau actives, e.g., découvrir les backdoors -LogonSessions : lister l’ensemble des sessions actives -WirelessKeyView : afficher l’ensemble des clés wifi sur un système -WebBrowserPassView : Récupération des mots de passe des navigateurs -OSForensics : extraire, examiner et analyser des données numériques, telles que des fichiers supprimés, des preuves de navigation Internet, et des historiques d'activités. Outils Sur Linux : -Autopsy : examiner des disques durs et des systèmes de fichiers, d'analyser des données numériques, et de récupérer des preuves -Volatility : extraire et d'analyser des données à partir d'images de mémoire vive (RAM) -Binwalk tool : extraire et d'analyser les composants d'images firmware...
