Tarek MOHAMED CHFI, CEH, ECSP
http://www.linkedin.com/in/tarekmed
tarekmed,rachdi@gmail.com

Windows Forensics
Comment ana...
Objectif





Qu’est ce que se passe?
Qui fait quoi?
Obtenir une autre pièce du puzzle
Collecter les données critiques...
Pourquoi l’analyse à chaud(Live Forensics)?

Généralement les tailles des disques des
machines à analyser est trop gros:
...
Investigations en live
 Prélever le temps système.
 Les utisateures connectés à ce système .
 Les fichiers ouverts.
 L...
System time
• Relever le temps système de la machine en question:
Les utisateures connectés
• Au cours de l’investigation il es très important de savoir:
– Les utilisateurs logués en local...
Les utisateures connectés
•
•
•
•
•
•

•

On peut aussi voir les sessions ouvertes à distance avec la commande
net session...
les fichiers ouvertes
• Voire les fichiers ouvertes à distance :
– Par qui (l’utilisateur).(Psfile)

– Par quel processus....
les fichiers ouvertes
– Par quel processus en temps réel:
Les connexions réseaux
 voire les connexions actives.
 Les états des ces connexions.
 Les processus responsable du chaq...
Les processus
• Liste des processus démarré dans le système.(Pslist)
Les processus
• Liste modules et les DLLs utilisés par chaque processus (Listdlls).
Les processus
• Liste des différents handle que les processus ont ouvert,
d’où on peut savoir les ressources qu’un process...
Les processus
• Liste des applications et taches ou processus associés
actuellement activé sur un système à distance (Task...
Les processus
• Visualiser en temps réel les processus actifs
Les processus
• Visualiser en temps réel les activités des processus actifs
les mémoires
• Liste des programmes actuellement chargés en mémoire.(la
commande MEM)

MEM [/PROGRAM | /DEBUG | /CLASSIFY]...
Les informations sur les services
• Liste des services actifs.(PsService).
Les informations sur les registres
• Suivre les activités en temps réel sur les registres
Automatisations des outils
•

Automatisation des collectes des informations avec les outils
d’investigations: http://www.f...
Merci 
Prochain SlideShare
Chargement dans…5
×

Windows Forensics

751 vues

Publié le

comment analyser une machine windows compromise

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
751
Sur SlideShare
0
Issues des intégrations
0
Intégrations
8
Actions
Partages
0
Téléchargements
50
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Windows Forensics

  1. 1. Tarek MOHAMED CHFI, CEH, ECSP http://www.linkedin.com/in/tarekmed tarekmed,rachdi@gmail.com Windows Forensics Comment analyser une machine Windows compromise
  2. 2. Objectif     Qu’est ce que se passe? Qui fait quoi? Obtenir une autre pièce du puzzle Collecter les données critiques (passwords, unencrypted data, etc …)  Collecter les informations sur les machines.
  3. 3. Pourquoi l’analyse à chaud(Live Forensics)? Généralement les tailles des disques des machines à analyser est trop gros:  la tendance d’augmentation du Capacité du disque est plus rapide que les processeurs.  La recherche et l’indexation prend du temps.  Les images des disques prend du temps.  Très difficile de saisir les systèmes.  Certaines données sont uniquement en mémoire vive (RAM).
  4. 4. Investigations en live  Prélever le temps système.  Les utisateures connectés à ce système .  Les fichiers ouverts.  Les informations réseaux.  Les connections réseaux.  Les informations sur les processus.  Les informations sur la mémoire.  Les informations sur les services  Les historiques des commandes.
  5. 5. System time • Relever le temps système de la machine en question:
  6. 6. Les utisateures connectés • Au cours de l’investigation il es très important de savoir: – Les utilisateurs logués en local. – Les sessions ouvertes à distance.. • PsLoggedOn :outil PsTools pour lister les utilisateurs qui se sont logués sur la machine locale ou distante.
  7. 7. Les utisateures connectés • • • • • • • On peut aussi voir les sessions ouvertes à distance avec la commande net sessions affiche qui est authentifié en local et à travers une ressources partagées netusers.exe /local > netusers_local.txt On peut aussi utiliser : netusers.exe /local /history > netusers_local_history.txt Afficher les dernières authentifications abouties avec succès : ntlast.exe -v -s > success.txt Afficher les dernières authentifications échouées : ntlast.exe -v -f > failed.txt Affiche les dernières authentifications interactives : ntlast.exe -v -i > interact.txt Affiche les authentifications distantes : ntlast.exe -v -r > remote.txt
  8. 8. les fichiers ouvertes • Voire les fichiers ouvertes à distance : – Par qui (l’utilisateur).(Psfile) – Par quel processus.(Handle)
  9. 9. les fichiers ouvertes – Par quel processus en temps réel:
  10. 10. Les connexions réseaux  voire les connexions actives.  Les états des ces connexions.  Les processus responsable du chaque connexion (PID).
  11. 11. Les processus • Liste des processus démarré dans le système.(Pslist)
  12. 12. Les processus • Liste modules et les DLLs utilisés par chaque processus (Listdlls).
  13. 13. Les processus • Liste des différents handle que les processus ont ouvert, d’où on peut savoir les ressources qu’un processus accède.(Handle)
  14. 14. Les processus • Liste des applications et taches ou processus associés actuellement activé sur un système à distance (Tasklist) NB: Tasklist /svc :Affiche les services de chaque processus.
  15. 15. Les processus • Visualiser en temps réel les processus actifs
  16. 16. Les processus • Visualiser en temps réel les activités des processus actifs
  17. 17. les mémoires • Liste des programmes actuellement chargés en mémoire.(la commande MEM) MEM [/PROGRAM | /DEBUG | /CLASSIFY] /PROGRAM ou /P Affiche un ‚tat des programmes actuellement en mémoire. /DEBUG ou /D Affiche un état des programmes et pilotes internes, ainsi que d'autres informations. /CLASSIFY ou /C Classe les programmes selon l'utilisation de la mémoire. affiche la taille de chaque programme, un résum‚ de l'occupation mémoire et la liste des blocs disponibles.
  18. 18. Les informations sur les services • Liste des services actifs.(PsService).
  19. 19. Les informations sur les registres • Suivre les activités en temps réel sur les registres
  20. 20. Automatisations des outils • Automatisation des collectes des informations avec les outils d’investigations: http://www.foolmoon.net/security/wft/
  21. 21. Merci 

×