Skip to main content

Les bases du computer forensic

COURS FORENSIC

DÉFINITION DU FORENSIC

Le forensic, ou criminalistique numérique, est une discipline qui consiste à collecter, analyser et préserver des preuves numériques afin de les utiliser dans des enquêtes judiciaires ou techniques. Cela inclut l'étude des disques durs, systèmes de fichiers, réseaux, et tout autre support numérique.

PRINCIPES FONDAMENTAUX DU FORENSIC

  1. PRÉSERVATION DES PREUVES : Toute manipulation doit garantir l'intégrité des données. Les outils et méthodes utilisés doivent éviter toute altération des preuves.
  2. COLLECTE DES DONNÉES : Extraction méthodique des informations pertinentes à partir des supports numériques.
  3. ANALYSE DES DONNÉES : Identification et interprétation des preuves pour répondre aux questions de l'enquête.
  4. DOCUMENTATION : Enregistrer toutes les étapes pour assurer la traçabilité et permettre une reproduction par un tiers.
  5. RAPPORT FINAL : Présentation claire et compréhensible des résultats.

En computer forensic on parle de deux types d'extractions (une extraction est un enregistrement de l'appareil tel qu'il est à un instant donné).

Extraction physique :

C'est une copie bit à bit de l'ensemble d'un apprareil (pc ou mobile)
en format ewf (Expert Witness Format) .E01, .E02, est un format empêchant l'écriture par défaut, read only

Extraction Logique :

Une extraction que d'un ensembles de données visées
en format AFF(Advanced Forensic Format)

OUTILS ET TECHNIQUES UTILISÉS EN FORENSIC

OUTILS DE BASE

  • dd : Utilisé pour créer une image brute d'un disque ou d'une partition.
    • Exemple : dd if=/dev/sda of=/path/to/image.img bs=4M
  • hash (md5sum, sha256sum) : Génération de hash pour vérifier l'intégrité des fichiers.
    • Exemple : md5sum image.img
  • strings : Extraction de chaînes de caractères lisibles dans un fichier ou une image disque.
    • Exemple : strings image.img | grep "password"

OUTILS AVANCÉS

  • Autopsy : Interface graphique pour l'analyse forensic basée sur The Sleuth Kit.
  • The Sleuth Kit (TSK) : Collection d'outils en ligne de commande pour analyser les systèmes de fichiers.
  • Volatility : Analyse forensic de la mémoire vive (RAM).
  • Wireshark : Analyseur de paquets réseau pour examiner les communications réseau.
  • FTK Imager : Création d'images disque et analyse forensic.
  • Forensic Explorer : Naviguer dans les fichiers de l'image, analyses de metadata etc...
  • https://exif.tools : Outils en ligne permettant d'accéder au meta-données
  • Les bloqueurs d'écriture
  • Kape : Outils permettant de faire de la captures de log ciblés (navigateur etc..) pourrait s'aparenté à une extraction logique
  • JumpList Explorer (permet de naviguer entre les informations des jumplists utilisateurs)

LES SYTÈMES D'EXPLOITATION

Certaines distributions linux contenant des outils dédié aux analyses forensics

  • Tsurugi
  • Paladin

TYPES DE PREUVES NUMÉRIQUES

  1. DISQUES DURS INTERNES ET PARTITIONS :

    • Analyse des systèmes de fichiers (FAT32, NTFS, ext4).
    • Recherche de fichiers supprimés ou cachés.
    • Exemple d'outil : testdisk pour récupérer des partitions perdues.

  2. MÉMOIRE VIVE (RAM) :

    • Extraction d'informations volatiles comme les processus en cours ou les clés de chiffrement.
    • Utilisation d'outils comme Volatility.

  3. MÉDIAS AMOVIBLES :

    • Clés USB, cartes SD, disques externes ou internes
    • Vérification des métadonnées et récupération des fichiers supprimés.

COMMANDES UTILES EN FORENSIC

CRÉATION D'IMAGE DISQUE

  • dd if=/dev/sdX of=/path/to/image.img bs=4M : Crée une copie brute du disque.
  • dcfldd : Version améliorée de dd avec génération automatique de hash.

ANALYSE DE FICHIERS

  • file : Identifie le type d'un fichier.
    • Exemple : file image.img
  • strings : Extrait les chaînes lisibles dans un fichier.
    • Exemple : strings image.img | grep "keyword"

VÉRIFICATION D'INTÉGRITÉ

  • md5sum ou sha256sum : Calcul du hash d'un fichier pour vérifier son intégrité.
    • Exemple : sha256sum image.img

ANALYSE RÉSEAU

  • tcpdump : Capture le trafic réseau brut.
    • Exemple : tcpdump -i eth0 -w capture.pcap
  • Wireshark : Analyse graphique du trafic capturé.

Autres commandes utilse

  • vssadmin.exe list shadows /for=C: permet de lister les Volumes Shadows Copy d'une machine windows

Notes

  • L'Amcache.hve est un fichier de registre Windows qui stocke des informations sur l'exécution des programmes (il peut contenir les noms et versions des applications exécutées, les chemins d'exécution des fichiers. Les horodatages de création et de dernière modification. Les hashs SHA-1 des fichiers exécutables. Ces informations persistent même après la suppression des applications, ce qui en fait un outil précieux pour retracer l'activité d'un système).

    Les amcaches se trouvent dans C:\Windows\AppCompat\Programs\Amcache.hve

    La commande pour extraire des données du hve est .\AmcacheParser.exe -f C:\Users\Student\Desktop\Artefacts\Amcache\Amcache.hve --csv C:\Users\Student\Desktop\Artefacts\Amcache-out

  • Les thumbcaches sont des fichiers système Windows qui stockent des miniatures d'images, de vidéos et d'autres types de fichiers, permettant un affichage rapide des aperçus dans l'explorateur et pouvant conserver des traces de fichiers supprimés, ce qui en fait une source précieuse pour les investigations forensiques.

    On trouves dans C:\Users$$Nom d'utilisateur]\AppData\Local\Microsoft\Windows\Explorer

    L'outil thumbcaches viewer permets de les visualiser.

  • Les "compounds" (ou fichiers composés) sont des fichiers qui contiennent d'autres fichiers ou structures de données intégrés. Un exemple courant est le format de fichier OLE (Object Linking and Embedding) utilisé par Microsoft Office. Ces fichiers peuvent contenir plusieurs types de données, comme du texte, des images, et des métadonnées, tous encapsulés dans une seule structure de fichier. L'analyse des compounds est importante en forensique car ils peuvent cacher des informations cruciales ou des preuves dans leurs structures complexes.
Back to top