Tarek MOHAMED, profile picture
Téléchargé parTarek MOHAMED
PDF, PPTX1,114 vues

Windows Forensics

Le document traite de l'analyse des machines Windows compromises, en mettant l'accent sur l'importance de la forensic à chaud pour collecter des données critiques. Il décrit des outils et méthodes pour examiner les utilisateurs connectés, les fichiers ouverts, les processus actifs et les connexions réseau. Enfin, il mentionne l'automatisation des collectes d'informations pour faciliter les investigations.

Intégrer la présentation

Télécharger en tant que PDF, PPTX
Tarek MOHAMED CHFI, CEH, ECSP http://www.linkedin.com/in/tarekmed tarekmed,rachdi@gmail.com Windows Forensics Comment analyser une machine Windows compromise
Objectif     Qu’est ce que se passe? Qui fait quoi? Obtenir une autre pièce du puzzle Collecter les données critiques (passwords, unencrypted data, etc …)  Collecter les informations sur les machines.
Pourquoi l’analyse à chaud(Live Forensics)? Généralement les tailles des disques des machines à analyser est trop gros:  la tendance d’augmentation du Capacité du disque est plus rapide que les processeurs.  La recherche et l’indexation prend du temps.  Les images des disques prend du temps.  Très difficile de saisir les systèmes.  Certaines données sont uniquement en mémoire vive (RAM).
Investigations en live  Prélever le temps système.  Les utisateures connectés à ce système .  Les fichiers ouverts.  Les informations réseaux.  Les connections réseaux.  Les informations sur les processus.  Les informations sur la mémoire.  Les informations sur les services  Les historiques des commandes.
System time • Relever le temps système de la machine en question:
Les utisateures connectés • Au cours de l’investigation il es très important de savoir: – Les utilisateurs logués en local. – Les sessions ouvertes à distance.. • PsLoggedOn :outil PsTools pour lister les utilisateurs qui se sont logués sur la machine locale ou distante.
Les utisateures connectés • • • • • • • On peut aussi voir les sessions ouvertes à distance avec la commande net sessions affiche qui est authentifié en local et à travers une ressources partagées netusers.exe /local > netusers_local.txt On peut aussi utiliser : netusers.exe /local /history > netusers_local_history.txt Afficher les dernières authentifications abouties avec succès : ntlast.exe -v -s > success.txt Afficher les dernières authentifications échouées : ntlast.exe -v -f > failed.txt Affiche les dernières authentifications interactives : ntlast.exe -v -i > interact.txt Affiche les authentifications distantes : ntlast.exe -v -r > remote.txt
les fichiers ouvertes • Voire les fichiers ouvertes à distance : – Par qui (l’utilisateur).(Psfile) – Par quel processus.(Handle)
les fichiers ouvertes – Par quel processus en temps réel:
Les connexions réseaux  voire les connexions actives.  Les états des ces connexions.  Les processus responsable du chaque connexion (PID).
Les processus • Liste des processus démarré dans le système.(Pslist)
Les processus • Liste modules et les DLLs utilisés par chaque processus (Listdlls).
Les processus • Liste des différents handle que les processus ont ouvert, d’où on peut savoir les ressources qu’un processus accède.(Handle)
Les processus • Liste des applications et taches ou processus associés actuellement activé sur un système à distance (Tasklist) NB: Tasklist /svc :Affiche les services de chaque processus.
Les processus • Visualiser en temps réel les processus actifs
Les processus • Visualiser en temps réel les activités des processus actifs
les mémoires • Liste des programmes actuellement chargés en mémoire.(la commande MEM) MEM [/PROGRAM | /DEBUG | /CLASSIFY] /PROGRAM ou /P Affiche un ‚tat des programmes actuellement en mémoire. /DEBUG ou /D Affiche un état des programmes et pilotes internes, ainsi que d'autres informations. /CLASSIFY ou /C Classe les programmes selon l'utilisation de la mémoire. affiche la taille de chaque programme, un résum‚ de l'occupation mémoire et la liste des blocs disponibles.
Les informations sur les services • Liste des services actifs.(PsService).
Les informations sur les registres • Suivre les activités en temps réel sur les registres
Automatisations des outils • Automatisation des collectes des informations avec les outils d’investigations: http://www.foolmoon.net/security/wft/
Merci 

Contenu connexe

PDF
Comment analyser une machine linux compromise
parTarek MOHAMED
 
PPTX
Expose linux gestion des processus
parFatima Zahra Fagroud
 
PDF
Tp n 5 linux
parAmir Souissi
 
PPT
13
parselmanimahmoud
 
PDF
Tp n 3 linux
parAmir Souissi
 
PDF
Tp n 6 linux
parAmir Souissi
 
PPTX
Gestion des processus
parguebba sara
 
PPTX
Systemes d'explotation: Threads
parAlexandru Radovici
 
Comment analyser une machine linux compromise
parTarek MOHAMED
 
Expose linux gestion des processus
parFatima Zahra Fagroud
 
Tp n 5 linux
parAmir Souissi
 
13
parselmanimahmoud
 
Tp n 3 linux
parAmir Souissi
 
Tp n 6 linux
parAmir Souissi
 
Gestion des processus
parguebba sara
 
Systemes d'explotation: Threads
parAlexandru Radovici
 

Tendances

PPTX
SdE 3 - Systemes de fichiers
parAlexandru Radovici
 
PPTX
SdE 4: Processus
parAlexandru Radovici
 
PDF
lpi 101 notes de cours
parISIG
 
PDF
Principes de fonctionnement unix
parwebreaker
 
PDF
Tp n 4 linux
parAmir Souissi
 
PDF
Administration reseau linux
parRiadh Briki
 
PPTX
SdE 5 - Communication entre processus et Planification
parAlexandru Radovici
 
PDF
Présentation unix linux
parEmmanuel Florac
 
PDF
service NFS sous linux
parSouhaib El
 
PDF
Tp n 1 linux
parAmir Souissi
 
DOCX
Les 10 commandes utiles pour surveiller un système Linux
parjean NZONZIDI
 
PDF
Admin linux
parbekhti
 
PPTX
Initiation a la ligne de commande
parLakhdar Meftah
 
PDF
Les entrées sorties
parJihed Kaouech
 
DOCX
Gestion et surveillance du reseau syslogng
parKiemde Franck
 
PPTX
SdE2 4 - Processus
parAlexandru Radovici
 
PDF
Attachments 2011 12_19
parAmel Morchdi
 
PPTX
SdE 10 - Threads
parAlexandru Radovici
 
PPTX
SdE 5 - Planification
parAlexandru Radovici
 
PPTX
SdE 2 - Langage C, Allocation de memoire
parAlexandru Radovici
 
SdE 3 - Systemes de fichiers
parAlexandru Radovici
 
SdE 4: Processus
parAlexandru Radovici
 
lpi 101 notes de cours
parISIG
 
Principes de fonctionnement unix
parwebreaker
 
Tp n 4 linux
parAmir Souissi
 
Administration reseau linux
parRiadh Briki
 
SdE 5 - Communication entre processus et Planification
parAlexandru Radovici
 
Présentation unix linux
parEmmanuel Florac
 
service NFS sous linux
parSouhaib El
 
Tp n 1 linux
parAmir Souissi
 
Les 10 commandes utiles pour surveiller un système Linux
parjean NZONZIDI
 
Admin linux
parbekhti
 
Initiation a la ligne de commande
parLakhdar Meftah
 
Les entrées sorties
parJihed Kaouech
 
Gestion et surveillance du reseau syslogng
parKiemde Franck
 
SdE2 4 - Processus
parAlexandru Radovici
 
Attachments 2011 12_19
parAmel Morchdi
 
SdE 10 - Threads
parAlexandru Radovici
 
SdE 5 - Planification
parAlexandru Radovici
 
SdE 2 - Langage C, Allocation de memoire
parAlexandru Radovici
 

En vedette

PDF
Manual de marca MACROmanager Consultora
parmmface
 
PPTX
Formato sesión de clase8
parjorgesanchezd95
 
PPTX
El ensayo
parJean785
 
PPTX
IMAGENES ACTUALES Cerro de pasco
parbrendsemo
 
DOCX
Precentaciones digitales
parRamiro Enriquez
 
DOCX
Programas vistos en el año
parmartinacifola
 
PPTX
HERRAMIENTAS TIC ESNEDER
paresneidder
 
PPTX
La comunicación y las tic´s (1) --
paryeraldinebravo
 
PPSX
Carlos
parcarlote-5555
 
DOCX
El Blog
parOscar Moncayo
 
PPTX
Niif
par1092342082
 
PDF
Principios psicopedagógico de currículo.docx333333
parMersy Alulema
 
PPTX
Fin de semana de campamento
parIn Out Network
 
PDF
2014 recap statistique site internet st jean de luz
parTerre et Côte Basques
 
PDF
Motion 4 pages OPLPV
parOPLPV
 
PDF
Pressbook Kiro'o Recap 2014
parOlivier Madiba
 
PPT
Primeros auxilios pacifico 2013
parfhtorresr
 
PPTX
Anatomía de mi ple
parJuan_Cordova
 
PDF
Extrait de portfolio
parAdrien de La Celle
 
PPTX
Mi ple
pargomezluis10
 
Manual de marca MACROmanager Consultora
parmmface
 
Formato sesión de clase8
parjorgesanchezd95
 
El ensayo
parJean785
 
IMAGENES ACTUALES Cerro de pasco
parbrendsemo
 
Precentaciones digitales
parRamiro Enriquez
 
Programas vistos en el año
parmartinacifola
 
HERRAMIENTAS TIC ESNEDER
paresneidder
 
La comunicación y las tic´s (1) --
paryeraldinebravo
 
Carlos
parcarlote-5555
 
El Blog
parOscar Moncayo
 
Niif
par1092342082
 
Principios psicopedagógico de currículo.docx333333
parMersy Alulema
 
Fin de semana de campamento
parIn Out Network
 
2014 recap statistique site internet st jean de luz
parTerre et Côte Basques
 
Motion 4 pages OPLPV
parOPLPV
 
Pressbook Kiro'o Recap 2014
parOlivier Madiba
 
Primeros auxilios pacifico 2013
parfhtorresr
 
Anatomía de mi ple
parJuan_Cordova
 
Extrait de portfolio
parAdrien de La Celle
 
Mi ple
pargomezluis10
 

Windows Forensics

  • 1.
    Tarek MOHAMED CHFI,CEH, ECSP http://www.linkedin.com/in/tarekmed tarekmed,rachdi@gmail.com Windows Forensics Comment analyser une machine Windows compromise
  • 2.
    Objectif     Qu’est ce quese passe? Qui fait quoi? Obtenir une autre pièce du puzzle Collecter les données critiques (passwords, unencrypted data, etc …)  Collecter les informations sur les machines.
  • 3.
    Pourquoi l’analyse àchaud(Live Forensics)? Généralement les tailles des disques des machines à analyser est trop gros:  la tendance d’augmentation du Capacité du disque est plus rapide que les processeurs.  La recherche et l’indexation prend du temps.  Les images des disques prend du temps.  Très difficile de saisir les systèmes.  Certaines données sont uniquement en mémoire vive (RAM).
  • 4.
    Investigations en live Prélever le temps système.  Les utisateures connectés à ce système .  Les fichiers ouverts.  Les informations réseaux.  Les connections réseaux.  Les informations sur les processus.  Les informations sur la mémoire.  Les informations sur les services  Les historiques des commandes.
  • 5.
    System time • Releverle temps système de la machine en question:
  • 6.
    Les utisateures connectés •Au cours de l’investigation il es très important de savoir: – Les utilisateurs logués en local. – Les sessions ouvertes à distance.. • PsLoggedOn :outil PsTools pour lister les utilisateurs qui se sont logués sur la machine locale ou distante.
  • 7.
    Les utisateures connectés • • • • • • • Onpeut aussi voir les sessions ouvertes à distance avec la commande net sessions affiche qui est authentifié en local et à travers une ressources partagées netusers.exe /local > netusers_local.txt On peut aussi utiliser : netusers.exe /local /history > netusers_local_history.txt Afficher les dernières authentifications abouties avec succès : ntlast.exe -v -s > success.txt Afficher les dernières authentifications échouées : ntlast.exe -v -f > failed.txt Affiche les dernières authentifications interactives : ntlast.exe -v -i > interact.txt Affiche les authentifications distantes : ntlast.exe -v -r > remote.txt
  • 8.
    les fichiers ouvertes •Voire les fichiers ouvertes à distance : – Par qui (l’utilisateur).(Psfile) – Par quel processus.(Handle)
  • 9.
    les fichiers ouvertes –Par quel processus en temps réel:
  • 10.
    Les connexions réseaux voire les connexions actives.  Les états des ces connexions.  Les processus responsable du chaque connexion (PID).
  • 11.
    Les processus • Listedes processus démarré dans le système.(Pslist)
  • 12.
    Les processus • Listemodules et les DLLs utilisés par chaque processus (Listdlls).
  • 13.
    Les processus • Listedes différents handle que les processus ont ouvert, d’où on peut savoir les ressources qu’un processus accède.(Handle)
  • 14.
    Les processus • Listedes applications et taches ou processus associés actuellement activé sur un système à distance (Tasklist) NB: Tasklist /svc :Affiche les services de chaque processus.
  • 15.
    Les processus • Visualiseren temps réel les processus actifs
  • 16.
    Les processus • Visualiseren temps réel les activités des processus actifs
  • 17.
    les mémoires • Listedes programmes actuellement chargés en mémoire.(la commande MEM) MEM [/PROGRAM | /DEBUG | /CLASSIFY] /PROGRAM ou /P Affiche un ‚tat des programmes actuellement en mémoire. /DEBUG ou /D Affiche un état des programmes et pilotes internes, ainsi que d'autres informations. /CLASSIFY ou /C Classe les programmes selon l'utilisation de la mémoire. affiche la taille de chaque programme, un résum‚ de l'occupation mémoire et la liste des blocs disponibles.
  • 18.
    Les informations surles services • Liste des services actifs.(PsService).
  • 19.
    Les informations surles registres • Suivre les activités en temps réel sur les registres
  • 20.
    Automatisations des outils • Automatisationdes collectes des informations avec les outils d’investigations: http://www.foolmoon.net/security/wft/
  • 21.