On regarde dans les anciens cas projets pour voir si on n’a pas trouvé des cas similaires.
On pourrait retrouver des données qui ont été intéréssante dans d’autres cas et qui sont aussi intéréssantes pour ce cas.
Dans le répertoire central, qui inclus les données comme les hashs MD5, les commentaires, les SSIDs Wifi…
Pourquoi en avons nos besoin ?
Pour accéder à des informations pertinentes sur les anciens cas projets.
Car le modèle d’Autopsy est 1 base de donnée par cas projet.
Analyse forensique Autopsy sur Windows, moteur de corrélation: fonctionnement
Une question? Posez-la ici
Besoin d'aide?
Le module enregistre des données à partir d’autres modules (valeurs hashs, adresses email…)
Il requête le répertoire central pour voir si l’info y est déjà.
Il insère la nouvelle donnée dans le répertoire central.
Analyse forensique Autopsy sur Windows, moteur de corrélation: données corrélées
Les hashs MD5
Les domaines, extraits des urls
Les adresses email, depuis les emails, carnets d’adresses contacts..
Les numéros de téléphone
Les IDs des périphériques USB
Les SSIDs Wifi : en parsant la base de registre.
Une question? Posez-la ici
Besoin d'aide?
Analyse forensique Autopsy sur Windows, moteur de corrélation: données stockées
Valeur (hash, email, numéro de téléphone, etc.)
Etude de cas
Source de données
Chemin du fichier
Commentaires
Status ramarquable
Il y a une colonne dans la base pour chaque propriété.
Analyse forensique Autopsy sur Windows, moteur de corrélation: alertes générées
Les périphériques USB seront toujours flaggués s’ils ont déjà été vus
Une question? Posez-la ici
Besoin d'aide ?
Quelles occurrences sont apparues dans les autres cas projets?
Il faut consulter l’onglet « other occurrences »
Analyse forensique Autopsy sur Windows, moteur de corrélation: QCM du CTF
À ce stade du scénario, la police a fouillé la maison et, avec l'aide de Postfix, le renifleur électronique K9, a trouvé une carte multimédia. Nous ajouterons cela à notre cas et trouverons des corrélations.
Ajouter device2_mediacard.e01 en tant que nouvelle source de données (REMARQUE: nous avons déjà ajouté la source de données device1_laptop.e01 au référentiel central lors du Hash Lookup Lab)
Cliquez avec le bouton droit sur device2_mediacard.e01 et exécutez Ingest Modules, avec les options suivantes activées:
Recherche de hachage
Exif Parser
Moteur de corrélation
Question: Un élément intéressant a-t-il été créé parce qu'un fichier sur la carte multimédia était précédemment marqué comme notable? Oui
Question: La photo sur l'ordinateur portable avait une date de création du 2019-11-01. Quelle est la date de création (au format AAAA-MM-JJ) sur la carte médicale? 24 10 2019 ?
Question: Combien de fichiers .jpg au total se trouvent dans le même dossier que le fichier Notable? View source file : Pas 15,
Question: Regardez l'onglet Autres occurrences de ce fichier pour voir s'il est apparu ailleurs dans ce cas avec un nom différent. Si c'était le cas, quel est l'autre nom? F_00022e ?
Un petit bonjour aux copains de CTF en passant:
Zarked, Nofix, BZHugs,Voydstack,Gabrielle_BGB,Aether,Jardin_Acide,Ninjarchiviste,Quanthor_ic,ENOENT,Rabbindesbois,Biotienne,LowOrbitIonCanon,$in,H4ckd4ddy,Trollolol,Slowerzs,0ni0n5,Xbquo,Mathis,ammel,Fab13N,Nics,Blueshit,G3rmon,JoanSivion,Forgi,S01den,face0xff,Bdenneu,T0t0r04,Corentin,SoEasY,Tek_,OxUKN,loulous24,Hexabeast,SushiMaki,Major_Tom,Neit,Le vrai faux Serguei,Redoste,Damien,Yir,Aswane,ethicalhack3r,Rocha01Nicolas,Worty,Siben,Yaumnplean,PlaidCTF,shd33,CanardMandarin...
Ils se reconnaitront! GG vous êtes les meilleurs ! ;-)
Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit. J'espère que ça vous a plu.
Ce cours, avec TD, POC et QCM d'évaluation est composé de ces autres chapitres:
Recherche de mots avec SOLR et TIKA
Vos commentaires/remarques sont les bienvenus: