SlideShare une entreprise Scribd logo

Windows Forensics

Tarek MOHAMED
Tarek MOHAMED

comment analyser une machine windows compromise

1  sur  21
Télécharger pour lire hors ligne
Tarek MOHAMED CHFI, CEH, ECSP http://www.linkedin.com/in/tarekmed tarekmed,rachdi@gmail.com Windows Forensics Comment analyser une machine Windows compromise
Objectif     Qu’est ce que se passe? Qui fait quoi? Obtenir une autre pièce du puzzle Collecter les données critiques (passwords, unencrypted data, etc …)  Collecter les informations sur les machines.
Pourquoi l’analyse à chaud(Live Forensics)? Généralement les tailles des disques des machines à analyser est trop gros:  la tendance d’augmentation du Capacité du disque est plus rapide que les processeurs.  La recherche et l’indexation prend du temps.  Les images des disques prend du temps.  Très difficile de saisir les systèmes.  Certaines données sont uniquement en mémoire vive (RAM).
Investigations en live  Prélever le temps système.  Les utisateures connectés à ce système .  Les fichiers ouverts.  Les informations réseaux.  Les connections réseaux.  Les informations sur les processus.  Les informations sur la mémoire.  Les informations sur les services  Les historiques des commandes.
System time • Relever le temps système de la machine en question:
Les utisateures connectés • Au cours de l’investigation il es très important de savoir: – Les utilisateurs logués en local. – Les sessions ouvertes à distance.. • PsLoggedOn :outil PsTools pour lister les utilisateurs qui se sont logués sur la machine locale ou distante.
Les utisateures connectés • • • • • • • On peut aussi voir les sessions ouvertes à distance avec la commande net sessions affiche qui est authentifié en local et à travers une ressources partagées netusers.exe /local > netusers_local.txt On peut aussi utiliser : netusers.exe /local /history > netusers_local_history.txt Afficher les dernières authentifications abouties avec succès : ntlast.exe -v -s > success.txt Afficher les dernières authentifications échouées : ntlast.exe -v -f > failed.txt Affiche les dernières authentifications interactives : ntlast.exe -v -i > interact.txt Affiche les authentifications distantes : ntlast.exe -v -r > remote.txt
les fichiers ouvertes • Voire les fichiers ouvertes à distance : – Par qui (l’utilisateur).(Psfile) – Par quel processus.(Handle)
les fichiers ouvertes – Par quel processus en temps réel:
Les connexions réseaux  voire les connexions actives.  Les états des ces connexions.  Les processus responsable du chaque connexion (PID).
Les processus • Liste des processus démarré dans le système.(Pslist)
Les processus • Liste modules et les DLLs utilisés par chaque processus (Listdlls).
Les processus • Liste des différents handle que les processus ont ouvert, d’où on peut savoir les ressources qu’un processus accède.(Handle)
Les processus • Liste des applications et taches ou processus associés actuellement activé sur un système à distance (Tasklist) NB: Tasklist /svc :Affiche les services de chaque processus.
Les processus • Visualiser en temps réel les processus actifs
Les processus • Visualiser en temps réel les activités des processus actifs
les mémoires • Liste des programmes actuellement chargés en mémoire.(la commande MEM) MEM [/PROGRAM | /DEBUG | /CLASSIFY] /PROGRAM ou /P Affiche un ‚tat des programmes actuellement en mémoire. /DEBUG ou /D Affiche un état des programmes et pilotes internes, ainsi que d'autres informations. /CLASSIFY ou /C Classe les programmes selon l'utilisation de la mémoire. affiche la taille de chaque programme, un résum‚ de l'occupation mémoire et la liste des blocs disponibles.
Les informations sur les services • Liste des services actifs.(PsService).
Les informations sur les registres • Suivre les activités en temps réel sur les registres
Automatisations des outils • Automatisation des collectes des informations avec les outils d’investigations: http://www.foolmoon.net/security/wft/
Merci 

Recommandé

Comment analyser une machine linux compromise
Comment analyser une machine linux compromiseComment analyser une machine linux compromise
Comment analyser une machine linux compromiseTarek MOHAMED
 
Tp n 5 linux
Tp n 5 linuxTp n 5 linux
Tp n 5 linuxAmir Souissi
 
Tp n 6 linux
Tp n 6 linuxTp n 6 linux
Tp n 6 linuxAmir Souissi
 
Tp n 3 linux
Tp n 3 linuxTp n 3 linux
Tp n 3 linuxAmir Souissi
 
Gestion des processus
Gestion des processusGestion des processus
Gestion des processusguebba sara
 
13
1313
13selmanimahmoud
 
Systemes d'explotation: Threads
Systemes d'explotation: ThreadsSystemes d'explotation: Threads
Systemes d'explotation: ThreadsAlexandru Radovici
 
Expose linux gestion des processus
Expose linux gestion des processusExpose linux gestion des processus
Expose linux gestion des processusFatima Zahra Fagroud
 

Recommandé

Comment analyser une machine linux compromise
Comment analyser une machine linux compromiseComment analyser une machine linux compromise
Comment analyser une machine linux compromiseTarek MOHAMED
 
Tp n 5 linux
Tp n 5 linuxTp n 5 linux
Tp n 5 linuxAmir Souissi
 
Tp n 6 linux
Tp n 6 linuxTp n 6 linux
Tp n 6 linuxAmir Souissi
 
Tp n 3 linux
Tp n 3 linuxTp n 3 linux
Tp n 3 linuxAmir Souissi
 
Gestion des processus
Gestion des processusGestion des processus
Gestion des processusguebba sara
 
13
1313
13selmanimahmoud
 
Systemes d'explotation: Threads
Systemes d'explotation: ThreadsSystemes d'explotation: Threads
Systemes d'explotation: ThreadsAlexandru Radovici
 
Expose linux gestion des processus
Expose linux gestion des processusExpose linux gestion des processus
Expose linux gestion des processusFatima Zahra Fagroud
 
Initiation a la ligne de commande
Initiation a la ligne de commandeInitiation a la ligne de commande
Initiation a la ligne de commandeLakhdar Meftah
 
Les entrées sorties
Les entrées sortiesLes entrées sorties
Les entrées sortiesJihed Kaouech
 
SdE 10 - Threads
SdE 10 - ThreadsSdE 10 - Threads
SdE 10 - ThreadsAlexandru Radovici
 
Tp n 4 linux
Tp n 4 linuxTp n 4 linux
Tp n 4 linuxAmir Souissi
 
Gestion et surveillance du reseau syslogng
Gestion et surveillance du reseau syslogngGestion et surveillance du reseau syslogng
Gestion et surveillance du reseau syslogngKiemde Franck
 
SdE2 4 - Processus
SdE2 4 - ProcessusSdE2 4 - Processus
SdE2 4 - ProcessusAlexandru Radovici
 
Administration reseau linux
Administration reseau linuxAdministration reseau linux
Administration reseau linuxRiadh Briki
 
Tp n 1 linux
Tp n 1 linuxTp n 1 linux
Tp n 1 linuxAmir Souissi
 
Principes de fonctionnement unix
Principes de fonctionnement unixPrincipes de fonctionnement unix
Principes de fonctionnement unixwebreaker
 
Attachments 2011 12_19
Attachments 2011 12_19Attachments 2011 12_19
Attachments 2011 12_19Amel Morchdi
 
Les 10 commandes utiles pour surveiller un système Linux
Les 10 commandes utiles pour surveiller un système LinuxLes 10 commandes utiles pour surveiller un système Linux
Les 10 commandes utiles pour surveiller un système Linuxjean NZONZIDI
 
SdE 2 - Langage C, Allocation de memoire
SdE 2 - Langage C, Allocation de memoireSdE 2 - Langage C, Allocation de memoire
SdE 2 - Langage C, Allocation de memoireAlexandru Radovici
 
service NFS sous linux
service NFS sous linux service NFS sous linux
service NFS sous linuxSouhaib El
 
Admin linux
Admin linuxAdmin linux
Admin linuxbekhti
 
Présentation unix linux
Présentation unix linuxPrésentation unix linux
Présentation unix linuxEmmanuel Florac
 
SdE 3 - Systemes de fichiers
SdE 3 - Systemes de fichiersSdE 3 - Systemes de fichiers
SdE 3 - Systemes de fichiersAlexandru Radovici
 
SdE 5 - Planification
SdE 5 - PlanificationSdE 5 - Planification
SdE 5 - PlanificationAlexandru Radovici
 
SdE 5 - Communication entre processus et Planification
SdE 5 - Communication entre processus et PlanificationSdE 5 - Communication entre processus et Planification
SdE 5 - Communication entre processus et PlanificationAlexandru Radovici
 
SdE 4: Processus
SdE 4: ProcessusSdE 4: Processus
SdE 4: ProcessusAlexandru Radovici
 
lpi 101 notes de cours
lpi 101 notes de courslpi 101 notes de cours
lpi 101 notes de coursISIG
 
La comunicación y las tic´s (1) --
La comunicación y las tic´s (1) --La comunicación y las tic´s (1) --
La comunicación y las tic´s (1) --yeraldinebravo
 
Formato sesión de clase8
Formato sesión de clase8Formato sesión de clase8
Formato sesión de clase8jorgesanchezd95
 

Contenu connexe

Tendances

Initiation a la ligne de commande
Initiation a la ligne de commandeInitiation a la ligne de commande
Initiation a la ligne de commandeLakhdar Meftah
 
Les entrées sorties
Les entrées sortiesLes entrées sorties
Les entrées sortiesJihed Kaouech
 
Gestion et surveillance du reseau syslogng
Gestion et surveillance du reseau syslogngGestion et surveillance du reseau syslogng
Gestion et surveillance du reseau syslogngKiemde Franck
 
Administration reseau linux
Administration reseau linuxAdministration reseau linux
Administration reseau linuxRiadh Briki
 
Principes de fonctionnement unix
Principes de fonctionnement unixPrincipes de fonctionnement unix
Principes de fonctionnement unixwebreaker
 
Attachments 2011 12_19
Attachments 2011 12_19Attachments 2011 12_19
Attachments 2011 12_19Amel Morchdi
 
Les 10 commandes utiles pour surveiller un système Linux
Les 10 commandes utiles pour surveiller un système LinuxLes 10 commandes utiles pour surveiller un système Linux
Les 10 commandes utiles pour surveiller un système Linuxjean NZONZIDI
 
SdE 2 - Langage C, Allocation de memoire
SdE 2 - Langage C, Allocation de memoireSdE 2 - Langage C, Allocation de memoire
SdE 2 - Langage C, Allocation de memoireAlexandru Radovici
 
service NFS sous linux
service NFS sous linux service NFS sous linux
service NFS sous linuxSouhaib El
 
Admin linux
Admin linuxAdmin linux
Admin linuxbekhti
 
Présentation unix linux
Présentation unix linuxPrésentation unix linux
Présentation unix linuxEmmanuel Florac
 
SdE 5 - Communication entre processus et Planification
SdE 5 - Communication entre processus et PlanificationSdE 5 - Communication entre processus et Planification
SdE 5 - Communication entre processus et PlanificationAlexandru Radovici
 
lpi 101 notes de cours
lpi 101 notes de courslpi 101 notes de cours
lpi 101 notes de coursISIG
 

Tendances (20)

Initiation a la ligne de commande
Initiation a la ligne de commandeInitiation a la ligne de commande
Initiation a la ligne de commande
 
Les entrées sorties
Les entrées sortiesLes entrées sorties
Les entrées sorties
 
SdE 10 - Threads
SdE 10 - ThreadsSdE 10 - Threads
SdE 10 - Threads
 
Tp n 4 linux
Tp n 4 linuxTp n 4 linux
Tp n 4 linux
 
Gestion et surveillance du reseau syslogng
Gestion et surveillance du reseau syslogngGestion et surveillance du reseau syslogng
Gestion et surveillance du reseau syslogng
 
SdE2 4 - Processus
SdE2 4 - ProcessusSdE2 4 - Processus
SdE2 4 - Processus
 
Administration reseau linux
Administration reseau linuxAdministration reseau linux
Administration reseau linux
 
Tp n 1 linux
Tp n 1 linuxTp n 1 linux
Tp n 1 linux
 
Principes de fonctionnement unix
Principes de fonctionnement unixPrincipes de fonctionnement unix
Principes de fonctionnement unix
 
Attachments 2011 12_19
Attachments 2011 12_19Attachments 2011 12_19
Attachments 2011 12_19
 
Les 10 commandes utiles pour surveiller un système Linux
Les 10 commandes utiles pour surveiller un système LinuxLes 10 commandes utiles pour surveiller un système Linux
Les 10 commandes utiles pour surveiller un système Linux
 
SdE 2 - Langage C, Allocation de memoire
SdE 2 - Langage C, Allocation de memoireSdE 2 - Langage C, Allocation de memoire
SdE 2 - Langage C, Allocation de memoire
 
service NFS sous linux
service NFS sous linux service NFS sous linux
service NFS sous linux
 
Admin linux
Admin linuxAdmin linux
Admin linux
 
Présentation unix linux
Présentation unix linuxPrésentation unix linux
Présentation unix linux
 
SdE 3 - Systemes de fichiers
SdE 3 - Systemes de fichiersSdE 3 - Systemes de fichiers
SdE 3 - Systemes de fichiers
 
SdE 5 - Planification
SdE 5 - PlanificationSdE 5 - Planification
SdE 5 - Planification
 
SdE 5 - Communication entre processus et Planification
SdE 5 - Communication entre processus et PlanificationSdE 5 - Communication entre processus et Planification
SdE 5 - Communication entre processus et Planification
 
SdE 4: Processus
SdE 4: ProcessusSdE 4: Processus
SdE 4: Processus
 
lpi 101 notes de cours
lpi 101 notes de courslpi 101 notes de cours
lpi 101 notes de cours
 

En vedette

La comunicación y las tic´s (1) --
La comunicación y las tic´s (1) --La comunicación y las tic´s (1) --
La comunicación y las tic´s (1) --yeraldinebravo
 
Formato sesión de clase8
Formato sesión de clase8Formato sesión de clase8
Formato sesión de clase8jorgesanchezd95
 
Programas vistos en el año
Programas vistos en el añoProgramas vistos en el año
Programas vistos en el añomartinacifola
 
Primeros auxilios pacifico 2013
Primeros auxilios pacifico 2013Primeros auxilios pacifico 2013
Primeros auxilios pacifico 2013fhtorresr
 
Fin de semana de campamento
Fin de semana de campamentoFin de semana de campamento
Fin de semana de campamentoIn Out Network
 
HERRAMIENTAS TIC ESNEDER
HERRAMIENTAS TIC ESNEDER HERRAMIENTAS TIC ESNEDER
HERRAMIENTAS TIC ESNEDER esneidder
 
Pressbook Kiro'o Recap 2014
Pressbook Kiro'o Recap 2014Pressbook Kiro'o Recap 2014
Pressbook Kiro'o Recap 2014Olivier Madiba
 
IMAGENES ACTUALES Cerro de pasco
IMAGENES ACTUALES Cerro de pascoIMAGENES ACTUALES Cerro de pasco
IMAGENES ACTUALES Cerro de pascobrendsemo
 
Anatomía de mi ple
Anatomía de mi pleAnatomía de mi ple
Anatomía de mi pleJuan_Cordova
 
2014 recap statistique site internet st jean de luz
2014 recap statistique site internet st jean de luz2014 recap statistique site internet st jean de luz
2014 recap statistique site internet st jean de luzTerre et Côte Basques
 
Manual de marca MACROmanager Consultora
Manual de marca MACROmanager ConsultoraManual de marca MACROmanager Consultora
Manual de marca MACROmanager Consultorammface
 
El ensayo
El ensayoEl ensayo
El ensayoJean785
 
Precentaciones digitales
Precentaciones digitalesPrecentaciones digitales
Precentaciones digitalesRamiro Enriquez
 
Motion 4 pages OPLPV
Motion 4 pages OPLPVMotion 4 pages OPLPV
Motion 4 pages OPLPVOPLPV
 
Principios psicopedagógico de currículo.docx333333
Principios psicopedagógico de currículo.docx333333Principios psicopedagógico de currículo.docx333333
Principios psicopedagógico de currículo.docx333333Mersy Alulema
 

En vedette (20)

La comunicación y las tic´s (1) --
La comunicación y las tic´s (1) --La comunicación y las tic´s (1) --
La comunicación y las tic´s (1) --
 
Formato sesión de clase8
Formato sesión de clase8Formato sesión de clase8
Formato sesión de clase8
 
Programas vistos en el año
Programas vistos en el añoProgramas vistos en el año
Programas vistos en el año
 
Primeros auxilios pacifico 2013
Primeros auxilios pacifico 2013Primeros auxilios pacifico 2013
Primeros auxilios pacifico 2013
 
Fin de semana de campamento
Fin de semana de campamentoFin de semana de campamento
Fin de semana de campamento
 
HERRAMIENTAS TIC ESNEDER
HERRAMIENTAS TIC ESNEDER HERRAMIENTAS TIC ESNEDER
HERRAMIENTAS TIC ESNEDER
 
Pressbook Kiro'o Recap 2014
Pressbook Kiro'o Recap 2014Pressbook Kiro'o Recap 2014
Pressbook Kiro'o Recap 2014
 
IMAGENES ACTUALES Cerro de pasco
IMAGENES ACTUALES Cerro de pascoIMAGENES ACTUALES Cerro de pasco
IMAGENES ACTUALES Cerro de pasco
 
Anatomía de mi ple
Anatomía de mi pleAnatomía de mi ple
Anatomía de mi ple
 
Mi ple
Mi pleMi ple
Mi ple
 
2014 recap statistique site internet st jean de luz
2014 recap statistique site internet st jean de luz2014 recap statistique site internet st jean de luz
2014 recap statistique site internet st jean de luz
 
Manual de marca MACROmanager Consultora
Manual de marca MACROmanager ConsultoraManual de marca MACROmanager Consultora
Manual de marca MACROmanager Consultora
 
El ensayo
El ensayoEl ensayo
El ensayo
 
Precentaciones digitales
Precentaciones digitalesPrecentaciones digitales
Precentaciones digitales
 
Motion 4 pages OPLPV
Motion 4 pages OPLPVMotion 4 pages OPLPV
Motion 4 pages OPLPV
 
El Blog
El BlogEl Blog
El Blog
 
Niif
NiifNiif
Niif
 
Extrait de portfolio
Extrait de portfolioExtrait de portfolio
Extrait de portfolio
 
Carlos
CarlosCarlos
Carlos
 
Principios psicopedagógico de currículo.docx333333
Principios psicopedagógico de currículo.docx333333Principios psicopedagógico de currículo.docx333333
Principios psicopedagógico de currículo.docx333333
 

Similaire à Windows Forensics

Cours SE Principes et fonctionnement de système d’exploitation - IPSET.pdf
Cours SE Principes et fonctionnement de système d’exploitation - IPSET.pdfCours SE Principes et fonctionnement de système d’exploitation - IPSET.pdf
Cours SE Principes et fonctionnement de système d’exploitation - IPSET.pdfMedBechir
 
Gestion des threads
Gestion des threadsGestion des threads
Gestion des threadsSana Aroussi
 
coursystemedexploitaionsghaieranouar-150103105816-conversion-gate01.pdf
coursystemedexploitaionsghaieranouar-150103105816-conversion-gate01.pdfcoursystemedexploitaionsghaieranouar-150103105816-conversion-gate01.pdf
coursystemedexploitaionsghaieranouar-150103105816-conversion-gate01.pdfRihabBENLAMINE
 
Alphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm
 
TP1 analyse de mémoire.pdf
TP1 analyse de mémoire.pdfTP1 analyse de mémoire.pdf
TP1 analyse de mémoire.pdffatima117475
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
Cours système d’exploitation S1 - IG IPSET.pdf
Cours système d’exploitation S1 - IG IPSET.pdfCours système d’exploitation S1 - IG IPSET.pdf
Cours système d’exploitation S1 - IG IPSET.pdfMedBechir
 
Cour systeme d'exploitation sghaier anouar
Cour systeme d'exploitation sghaier anouarCour systeme d'exploitation sghaier anouar
Cour systeme d'exploitation sghaier anouarAnouar Sghaier
 
Cours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETCours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETMedBechir
 
Cours SE IAG Système d'exploitation Windows - IPSET.pdf
Cours SE IAG Système d'exploitation Windows - IPSET.pdfCours SE IAG Système d'exploitation Windows - IPSET.pdf
Cours SE IAG Système d'exploitation Windows - IPSET.pdfMedBechir
 
Les bases de la securité informatique
Les bases de la securité informatiqueLes bases de la securité informatique
Les bases de la securité informatiqueMozes Pierre
 

Similaire à Windows Forensics (20)

seim.pptx
seim.pptxseim.pptx
seim.pptx
 
Cours SE Principes et fonctionnement de système d’exploitation - IPSET.pdf
Cours SE Principes et fonctionnement de système d’exploitation - IPSET.pdfCours SE Principes et fonctionnement de système d’exploitation - IPSET.pdf
Cours SE Principes et fonctionnement de système d’exploitation - IPSET.pdf
 
SdE - Introduction
SdE - IntroductionSdE - Introduction
SdE - Introduction
 
Gestion des threads
Gestion des threadsGestion des threads
Gestion des threads
 
coursystemedexploitaionsghaieranouar-150103105816-conversion-gate01.pdf
coursystemedexploitaionsghaieranouar-150103105816-conversion-gate01.pdfcoursystemedexploitaionsghaieranouar-150103105816-conversion-gate01.pdf
coursystemedexploitaionsghaieranouar-150103105816-conversion-gate01.pdf
 
SdE 1 - Introduction
SdE 1 - IntroductionSdE 1 - Introduction
SdE 1 - Introduction
 
Alphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide complet
 
TP1 analyse de mémoire.pdf
TP1 analyse de mémoire.pdfTP1 analyse de mémoire.pdf
TP1 analyse de mémoire.pdf
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
 
Cours système d’exploitation S1 - IG IPSET.pdf
Cours système d’exploitation S1 - IG IPSET.pdfCours système d’exploitation S1 - IG IPSET.pdf
Cours système d’exploitation S1 - IG IPSET.pdf
 
Cour systeme d'exploitation sghaier anouar
Cour systeme d'exploitation sghaier anouarCour systeme d'exploitation sghaier anouar
Cour systeme d'exploitation sghaier anouar
 
Cours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETCours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSET
 
Parinux 2009
Parinux 2009Parinux 2009
Parinux 2009
 
Cours SE IAG Système d'exploitation Windows - IPSET.pdf
Cours SE IAG Système d'exploitation Windows - IPSET.pdfCours SE IAG Système d'exploitation Windows - IPSET.pdf
Cours SE IAG Système d'exploitation Windows - IPSET.pdf
 
Les bases de la securité informatique
Les bases de la securité informatiqueLes bases de la securité informatique
Les bases de la securité informatique
 
chapitre0.pptx
chapitre0.pptxchapitre0.pptx
chapitre0.pptx
 
Cours_OS 1.pptx
Cours_OS 1.pptxCours_OS 1.pptx
Cours_OS 1.pptx
 
SdE 4 - Processus
SdE 4 - ProcessusSdE 4 - Processus
SdE 4 - Processus
 
1514117367383.pptx
1514117367383.pptx1514117367383.pptx
1514117367383.pptx
 
1514117367383.pptx
1514117367383.pptx1514117367383.pptx
1514117367383.pptx
 

Windows Forensics

  • 1. Tarek MOHAMED CHFI, CEH, ECSP http://www.linkedin.com/in/tarekmed tarekmed,rachdi@gmail.com Windows Forensics Comment analyser une machine Windows compromise
  • 2. Objectif     Qu’est ce que se passe? Qui fait quoi? Obtenir une autre pièce du puzzle Collecter les données critiques (passwords, unencrypted data, etc …)  Collecter les informations sur les machines.
  • 3. Pourquoi l’analyse à chaud(Live Forensics)? Généralement les tailles des disques des machines à analyser est trop gros:  la tendance d’augmentation du Capacité du disque est plus rapide que les processeurs.  La recherche et l’indexation prend du temps.  Les images des disques prend du temps.  Très difficile de saisir les systèmes.  Certaines données sont uniquement en mémoire vive (RAM).
  • 4. Investigations en live  Prélever le temps système.  Les utisateures connectés à ce système .  Les fichiers ouverts.  Les informations réseaux.  Les connections réseaux.  Les informations sur les processus.  Les informations sur la mémoire.  Les informations sur les services  Les historiques des commandes.
  • 5. System time • Relever le temps système de la machine en question:
  • 6. Les utisateures connectés • Au cours de l’investigation il es très important de savoir: – Les utilisateurs logués en local. – Les sessions ouvertes à distance.. • PsLoggedOn :outil PsTools pour lister les utilisateurs qui se sont logués sur la machine locale ou distante.
  • 7. Les utisateures connectés • • • • • • • On peut aussi voir les sessions ouvertes à distance avec la commande net sessions affiche qui est authentifié en local et à travers une ressources partagées netusers.exe /local > netusers_local.txt On peut aussi utiliser : netusers.exe /local /history > netusers_local_history.txt Afficher les dernières authentifications abouties avec succès : ntlast.exe -v -s > success.txt Afficher les dernières authentifications échouées : ntlast.exe -v -f > failed.txt Affiche les dernières authentifications interactives : ntlast.exe -v -i > interact.txt Affiche les authentifications distantes : ntlast.exe -v -r > remote.txt
  • 8. les fichiers ouvertes • Voire les fichiers ouvertes à distance : – Par qui (l’utilisateur).(Psfile) – Par quel processus.(Handle)
  • 9. les fichiers ouvertes – Par quel processus en temps réel:
  • 10. Les connexions réseaux  voire les connexions actives.  Les états des ces connexions.  Les processus responsable du chaque connexion (PID).
  • 11. Les processus • Liste des processus démarré dans le système.(Pslist)
  • 12. Les processus • Liste modules et les DLLs utilisés par chaque processus (Listdlls).
  • 13. Les processus • Liste des différents handle que les processus ont ouvert, d’où on peut savoir les ressources qu’un processus accède.(Handle)
  • 14. Les processus • Liste des applications et taches ou processus associés actuellement activé sur un système à distance (Tasklist) NB: Tasklist /svc :Affiche les services de chaque processus.
  • 15. Les processus • Visualiser en temps réel les processus actifs
  • 16. Les processus • Visualiser en temps réel les activités des processus actifs
  • 17. les mémoires • Liste des programmes actuellement chargés en mémoire.(la commande MEM) MEM [/PROGRAM | /DEBUG | /CLASSIFY] /PROGRAM ou /P Affiche un ‚tat des programmes actuellement en mémoire. /DEBUG ou /D Affiche un état des programmes et pilotes internes, ainsi que d'autres informations. /CLASSIFY ou /C Classe les programmes selon l'utilisation de la mémoire. affiche la taille de chaque programme, un résum‚ de l'occupation mémoire et la liste des blocs disponibles.
  • 18. Les informations sur les services • Liste des services actifs.(PsService).
  • 19. Les informations sur les registres • Suivre les activités en temps réel sur les registres
  • 20. Automatisations des outils • Automatisation des collectes des informations avec les outils d’investigations: http://www.foolmoon.net/security/wft/