1. Tarek MOHAMED CHFI, CEH, ECSP
http://www.linkedin.com/in/tarekmed
tarekmed,rachdi@gmail.com
Windows Forensics
Comment analyser une machine
Windows compromise
2. Objectif
Qu’est ce que se passe?
Qui fait quoi?
Obtenir une autre pièce du puzzle
Collecter les données critiques (passwords, unencrypted data,
etc …)
Collecter les informations sur les machines.
3. Pourquoi l’analyse à chaud(Live Forensics)?
Généralement les tailles des disques des
machines à analyser est trop gros:
la tendance d’augmentation du Capacité du disque est plus
rapide que les processeurs.
La recherche et l’indexation prend du temps.
Les images des disques prend du temps.
Très difficile de saisir les systèmes.
Certaines données sont uniquement en mémoire vive
(RAM).
4. Investigations en live
Prélever le temps système.
Les utisateures connectés à ce système .
Les fichiers ouverts.
Les informations réseaux.
Les connections réseaux.
Les informations sur les processus.
Les informations sur la mémoire.
Les informations sur les services
Les historiques des commandes.
6. Les utisateures connectés
• Au cours de l’investigation il es très important de savoir:
– Les utilisateurs logués en local.
– Les sessions ouvertes à distance..
• PsLoggedOn :outil PsTools pour lister les utilisateurs qui se
sont logués sur la machine locale ou distante.
7. Les utisateures connectés
•
•
•
•
•
•
•
On peut aussi voir les sessions ouvertes à distance avec la commande
net sessions
affiche qui est authentifié en local et à travers une ressources partagées
netusers.exe /local > netusers_local.txt
On peut aussi utiliser :
netusers.exe /local /history > netusers_local_history.txt
Afficher les dernières authentifications abouties avec succès :
ntlast.exe -v -s > success.txt
Afficher les dernières authentifications échouées :
ntlast.exe -v -f > failed.txt
Affiche les dernières authentifications interactives :
ntlast.exe -v -i > interact.txt
Affiche les authentifications distantes :
ntlast.exe -v -r > remote.txt
8. les fichiers ouvertes
• Voire les fichiers ouvertes à distance :
– Par qui (l’utilisateur).(Psfile)
– Par quel processus.(Handle)
13. Les processus
• Liste des différents handle que les processus ont ouvert,
d’où on peut savoir les ressources qu’un processus
accède.(Handle)
14. Les processus
• Liste des applications et taches ou processus associés
actuellement activé sur un système à distance (Tasklist)
NB: Tasklist /svc :Affiche les services de chaque processus.
17. les mémoires
• Liste des programmes actuellement chargés en mémoire.(la
commande MEM)
MEM [/PROGRAM | /DEBUG | /CLASSIFY]
/PROGRAM ou /P Affiche un ‚tat des programmes actuellement en mémoire.
/DEBUG ou /D Affiche un état des programmes et pilotes internes, ainsi que d'autres
informations.
/CLASSIFY ou /C Classe les programmes selon l'utilisation de la mémoire. affiche la taille de
chaque programme, un résum‚ de l'occupation mémoire et la liste des blocs disponibles.