Les bases du computer forensic
COURS FORENSIC
DÉFINITION DU FORENSIC
Le forensic, ou criminalistique numérique, est une discipline qui consiste à collecter, analyser et préserver des preuves numériques afin de les utiliser dans des enquêtes judiciaires ou techniques. Cela inclut l'étude des disques durs, systèmes de fichiers, réseaux, et tout autre support numérique.
PRINCIPES FONDAMENTAUX DU FORENSIC
- PRÉSERVATION DES PREUVES : Toute manipulation doit garantir l'intégrité des données. Les outils et méthodes utilisés doivent éviter toute altération des preuves.
- COLLECTE DES DONNÉES : Extraction méthodique des informations pertinentes à partir des supports numériques.
- ANALYSE DES DONNÉES : Identification et interprétation des preuves pour répondre aux questions de l'enquête.
- DOCUMENTATION : Enregistrer toutes les étapes pour assurer la traçabilité et permettre une reproduction par un tiers.
- RAPPORT FINAL : Présentation claire et compréhensible des résultats.
En computer forensic on parle de deux types d'extractions (une extraction est un enregistrement de l'appareil tel qu'il est à un instant donné).
Extraction physique :
C'est une copie bit à bit de l'ensemble d'un apprareil (pc ou mobile)
Extraction Logique :
Une extraction que d'un ensembles de données visées
OUTILS ET TECHNIQUES UTILISÉS EN FORENSIC
OUTILS DE BASE
-
dd : Utilisé pour créer une image brute d'un disque ou d'une partition.
- Exemple :
dd if=/dev/sda of=/path/to/image.img bs=4M
- Exemple :
-
hash (md5sum, sha256sum) : Génération de hash pour vérifier l'intégrité des fichiers.
- Exemple :
md5sum image.img
- Exemple :
-
strings : Extraction de chaînes de caractères lisibles dans un fichier ou une image disque.
- Exemple :
strings image.img | grep "password"
- Exemple :
OUTILS AVANCÉS
- Autopsy : Interface graphique pour l'analyse forensic basée sur The Sleuth Kit.
- The Sleuth Kit (TSK) : Collection d'outils en ligne de commande pour analyser les systèmes de fichiers.
- Volatility : Analyse forensic de la mémoire vive (RAM).
- Wireshark : Analyseur de paquets réseau pour examiner les communications réseau.
- FTK Imager : Création d'images disque et analyse forensic.
- Forensic Explorer : Naviguer dans les fichiers de l'image, analyses de metadata etc...
- https://exif.tools : Outils en ligne permettant d'accéder au meta-données
- Les bloqueurs d'écriture
- Kape : Outils permettant de faire de la captures de log ciblés (navigateur etc..) pourrait s'aparenté à une extraction logique
LES SYTÈMES D'EXPLOITATION
Certaines distributions linux contenant des outils dédié aux analyses forensics
- Tsurugi
TYPES DE PREUVES NUMÉRIQUES
-
DISQUES DURS ET PARTITIONS :
- Analyse des systèmes de fichiers (FAT32, NTFS, ext4).
- Recherche de fichiers supprimés ou cachés.
- Exemple d'outil :
testdiskpour récupérer des partitions perdues.
-
MÉMOIRE VIVE (RAM) :
- Extraction d'informations volatiles comme les processus en cours ou les clés de chiffrement.
- Utilisation d'outils comme Volatility.
-
RÉSEAUX :
- Analyse du trafic réseau capturé via Wireshark ou tcpdump.
- Recherche d'activités suspectes comme les connexions non autorisées.
-
MÉDIAS AMOVIBLES :
- Clés USB, cartes SD, disques externes.
- Vérification des métadonnées et récupération des fichiers supprimés.
COMMANDES UTILES EN FORENSIC
CRÉATION D'IMAGE DISQUE
-
dd if=/dev/sdX of=/path/to/image.img bs=4M: Crée une copie brute du disque. -
dcfldd: Version améliorée de dd avec génération automatique de hash.
ANALYSE DE FICHIERS
-
file: Identifie le type d'un fichier.- Exemple :
file image.img
- Exemple :
-
strings: Extrait les chaînes lisibles dans un fichier.- Exemple :
strings image.img | grep "keyword"
- Exemple :
VÉRIFICATION D'INTÉGRITÉ
-
md5sumousha256sum: Calcul du hash d'un fichier pour vérifier son intégrité.- Exemple :
sha256sum image.img
- Exemple :
ANALYSE RÉSEAU
-
tcpdump: Capture le trafic réseau brut.- Exemple :
tcpdump -i eth0 -w capture.pcap
- Exemple :
-
Wireshark: Analyse graphique du trafic capturé.