6. Pourquoi le Forensic
• Apporter de nombreuses réponses en cas de :
Soupçons d’espionnage
Accès frauduleux
Piratage informatique
• Matérialiser les preuves informatiques
• Exploitation des principaux artefacts
• Retracer avec précision le mode opératoire de l’attaquant
• Déterminer l’origine de la compromission et le préjudice causé par cette dernière
6
11. Méthodologie
11
Mise en place d’une Chaîne de Custody
Identification de l’environnement et de la machine
Génération de la timeline globale
Analyse de la timeline
Recherche d’événements suspects à la date donnée (EVTX, Registry, $MFT)
Recherche par date, mot clé
13. Outils
13
FTK Imager Lite : acquisition en live et non volatile de manière légale
Mmls, dd : acquisition des données du disque dur
MoonSols DumpIt : Acquisition de la Mémoire Physique sous Windows
KntTools, Winpmem
Dmp2Bin : récupération des dumps mémoires
Volatility : manipuler les données contenues dans un dump mémoire
Suite Sleuth : extraire la timeline (mmls, fls, mactime, icat, autopsy)
RegRipper : extraction de données du registre Windows
Duplication de données
Données volatiles: Processus en cours, données en RAM, utilisateurs connectés, connexions TCP
1. Mettre en place une Chaîne de Custody
L’objectif est de documenter toutes les actions effectuées du début de l’investigation jusqu’à la présentation des preuves devant une cours de justice. Il s’agit de mettre en place la traçabilité des actions menées. La Chaîne de Custody contient, entre autres, des informations concernant le nom des investigateurs, la date et l’heure de chaque événements, la nature du support de l’information, ….
2. L'acquisition de donnée
On distingue deux types de données : les données volatiles et les données non-volatiles
Collecte des données volatiles:
ipconfig /all > infosreseau.txt
S’assurer que ces fichiers soient stocker sur un support externe initialement préparé à cet effet.
Bitstream copy ou copie bite à bite: permet de copier tous les fichiers y compris les fichiers supprimés ou endommagés.
Custody : l’objectif est de documenter toutes les actions effectuées du début de l’investigation jusqu’à la présentation des preuves devant une cours de justice. Il s’agit de mettre en place la traçabilité des actions menées. La Chaîne de Custody contient, entre autres, des informations concernant le nom des investigateurs, la date et l’heure de chaque événements, la nature du support de l’information
Timeline : chronologie des évènements intervenus sur un posteà partir de sources diverses: données sys: $MFT
données réseau: log proxy
MMLS : trouver l’offset du début de la parttion qui nous intéresse
FLS : création du bodyfile pour avoir une esquisse brut de la timeline
MACTIME: rendre laisible le bodyfile sur des dates choisies
ICAT: identifier un artefact spécifique