Skip to main content

Notes

COURS FORENSIC

DÉFINITION DU FORENSIC

Le forensic, ou criminalistique numérique, est une discipline qui consiste à collecter, analyser et préserver des preuves numériques afin de les utiliser dans des enquêtes judiciaires ou techniques. Cela inclut l'étude des disques durs, systèmes de fichiers, réseaux, et tout autre support numérique.

PRINCIPES FONDAMENTAUX DU FORENSIC

  1. PRÉSERVATION DES PREUVES : Toute manipulation doit garantir l'intégrité des données. Les outils et méthodes utilisés doivent éviter toute altération des preuves.
  2. COLLECTE DES DONNÉES : Extraction méthodique des informations pertinentes à partir des supports numériques.
  3. ANALYSE DES DONNÉES : Identification et interprétation des preuves pour répondre aux questions de l'enquête.
  4. DOCUMENTATION : Enregistrer toutes les étapes pour assurer la traçabilité et permettre une reproduction par un tiers.
  5. RAPPORT FINAL : Présentation claire et compréhensible des résultats.

OUTILS ET TECHNIQUES UTILISÉS EN FORENSIC

OUTILS DE BASE

  • dd : Utilisé pour créer une image brute d'un disque ou d'une partition.
    • Exemple : dd if=/dev/sda of=/path/to/image.img bs=4M
  • hash (md5sum, sha256sum) : Génération de hash pour vérifier l'intégrité des fichiers.
    • Exemple : md5sum image.img
  • strings : Extraction de chaînes de caractères lisibles dans un fichier ou une image disque.
    • Exemple : strings image.img | grep "password"

OUTILS AVANCÉS

  • Autopsy : Interface graphique pour l'analyse forensic basée sur The Sleuth Kit.
  • The Sleuth Kit (TSK) : Collection d'outils en ligne de commande pour analyser les systèmes de fichiers.
  • Volatility : Analyse forensic de la mémoire vive (RAM).
  • Wireshark : Analyseur de paquets réseau pour examiner les communications réseau.
  • FTK Imager : Création d'images disque et analyse forensic.
  • Forensic Explorer : Naviguer dans les fichiers de l'image
  • https://exif.tools

TYPES DE PREUVES NUMÉRIQUES

  1. DISQUES DURS ET PARTITIONS :

    • Analyse des systèmes de fichiers (FAT32, NTFS, ext4).
    • Recherche de fichiers supprimés ou cachés.
    • Exemple d'outil : testdisk pour récupérer des partitions perdues.

  2. MÉMOIRE VIVE (RAM) :

    • Extraction d'informations volatiles comme les processus en cours ou les clés de chiffrement.
    • Utilisation d'outils comme Volatility.

  3. RÉSEAUX :

    • Analyse du trafic réseau capturé via Wireshark ou tcpdump.
    • Recherche d'activités suspectes comme les connexions non autorisées.

  4. MÉDIAS AMOVIBLES :

    • Clés USB, cartes SD, disques externes.
    • Vérification des métadonnées et récupération des fichiers supprimés.

COMMANDES UTILES EN FORENSIC

CRÉATION D'IMAGE DISQUE

  • dd if=/dev/sdX of=/path/to/image.img bs=4M : Crée une copie brute du disque.
  • dcfldd : Version améliorée de dd avec génération automatique de hash.

ANALYSE DE FICHIERS

  • file : Identifie le type d'un fichier.
    • Exemple : file image.img
  • strings : Extrait les chaînes lisibles dans un fichier.
    • Exemple : strings image.img | grep "keyword"

VÉRIFICATION D'INTÉGRITÉ

  • md5sum ou sha256sum : Calcul du hash d'un fichier pour vérifier son intégrité.
    • Exemple : sha256sum image.img

ANALYSE RÉSEAU

  • tcpdump : Capture le trafic réseau brut.
    • Exemple : tcpdump -i eth0 -w capture.pcap
  • Wireshark : Analyse graphique du trafic capturé.
Back to top