Conseils, services, ingénierie en informatique. Mise en place de solutions technologiques, et support, pour les entreprises.

Note utilisateur: 5 / 5

Etoiles activesEtoiles activesEtoiles activesEtoiles activesEtoiles actives
 

 

Analyse forensique d'un système informatique Windows avec Autopsy, module « file type »

 

Trouve des fichiers en fonvtion de leur signature
https://en.wikipedia.org/wiki/List_of_file_signatures
Exemple, un fichier JPEG commence par un magic number de 0xffd8
Utilise la librairie open source TIKA qui detecte des centaines de types de fichiers et les présente sous forme MIME, exemple application/zip , audio/mpeg , image/jpeg..
Voir les résultats dans le « file metadata » tab

 

Une question? Posez-la ici

Besoin d'aide?

 

Types de fichiers « custom »

 

On peut créer son propre type de fichier si Autopsy ne les detecte pas automatiquement.
Tools/Options/Types de fichiers
Specifier : Mime type, offset signature, signature, si une alerte peut etre mise en cas de découverte.

 

Analyse forensique d un système Windows avec Autopsy custom file types 

 

 

Module « mismatch »

 

Quand un fichier est en anomalie, qu’il n’est pas ce qu’il prétend être.
Exemple, une extension .gif qui contient une image jpeg
Comparaison de extensions de fichiers, et du type de fichiers (magic number...)
But : detecter si quelqu’un essaye de cacher des fichiers en modifiants leurs caractéristiques, de transformer des fichiers.
Il peut y avoir des faux positifs, si par exemple un .tmp est transformé en .bak
Pour réduire les faux positifs, ne checker que les fichiers multimédias et executables.
On peut modifier les extensions des types de fichiers dans Global file extensio mismatch identification settings.
Exemple, application/X-gzip, sont autorisées les extensions gz, gzip, tgz. On peut ajouter des extensions…

 

Module « Exif »

 

Extraction de la structure EXIF des JPEGs
Enreistrement des méta données
Pourquoi l’utiliser ?
Pour identifier le type d’appareil photo avec lequel l’image a été prise
Pour savoir quand a été prise la photo
Connaitre les coordonnées GPS d’où a été prise l’image
On voit les résultats dans Resultes/Ecif metadata, avec

 

Analyse forensique d un système Windows avec Autopsy module exif

 

 

Une question? Posez-la ici

Besoin d'aide?


Analyse forensique d'un système informatique Windows avec Autopsy, module « Embedded file extractor »

 

Il extrait les informations contenues dans les fichiers.
Exemple, il ouvre les zip, les rar et ajoute les infos automatiquement
Extraction des images des documents Office et PDF.
Les fichiers trouvés sont analysés ensuite par les modules ingest
Même priorité que les parents
Marqués s’il sont protégés par des mots de passes
Fichiers visibles dans l’arbre,commes les autres fichiers
S’ils sont protégés par un mot de passe, on peut fournir ce mot de passe.

 

Analyse forensique d'un système informatique Windows avec Autopsy, module « email »

 

Cherche dans les Mbox, PST, EML
Récupère les fichiers joints, les groupes en threads
Idéal pour retracer les communications par email
Ou regarder les résultats ? Dans l’onglet « communications » ou dans l’arbre « E-mail messages »

 

Analyse forensique d'un système informatique Windows avec Autopsy, module « fichiers interessants »

 

Marque les fichiers qui sont souvent intéréssants, comme
-Backup iphone
-images vmware
-Portefeuilles Bitcoins
-Client et clés de stockages cloud…
-Volumes truecrypt.exe

On peut modifier les règles des fichiers intéréssants, exemple avec un regex
Exemple, si on a un fichier qui contient /Desktop/ …

Exemple, machines virtuelles VMWare, avec progrem exe vmplayer.exe et extensions vmdk

 

Analyse forensique d'un système informatique Windows avec Autopsy, module « detection de chiffrement »

 

Met en évidence les fichiers et volumes qui semblent chiffrés.

Par exemple, les fichiers office chiffrés, les bases de données Access…
Detection des volumes chiffrés
Visibles dans « results » et « encryption detected » ou « suspected »

 

Analyse forensique d'un système informatique Windows avec Autopsy, module « plaso »

Lecture de fichiers logs communs pour trouver des dates , timestamps
Il est très lent, il est donc désactivé par defaut
-registry timestamp
-PE Headers

 

Analyse forensique d'un système informatique Windows avec Autopsy, module « virtual machine extractor »

 

Comme son nom l’indique
Detection des vmdk, vhdi

 

Analyse forensique d'un système informatique Windows avec Autopsy, module « data source integrity »

 

Calcule l’intégrité (hash) d’une image disque et le sauvegarde.

 

 

Question QCM: Sous les résultats «Exif Metadata», combien de photos ont été prises avec les appareils suivants?

iPhone 7 Plus? 1

Samsung Galaxy S8? 0

BLU R1 HD? 15

Dans la zone "Vues", recherchez le fichier d'archive nommé "Archive.zip".

Accédez au répertoire d'origine (clic droit -> Afficher le fichier dans le répertoire).

Double-cliquez dessus pour y accéder.

Question: Quel est le type MIME répertorié pour le fichier «D3D11_Default.shader-db.bin»? Bin file (text/troff KO)

Question: Quelle est la taille du fichier "D3D11_Default.shader-db.bin"? "580k 597482 ? non

Question: Y a-t-il des résultats de non-concordance d'extension? Oui 113

Question: Quels sont les types de fichiers courants avec des extensions inattendues? png

Exécutez à nouveau l'ingestion avec uniquement le module Fichiers intéressants activé.

Créez un ensemble de fichiers intéressant nommé «Cryptage». Avec deux règles qui correspondent aux fichiers nommés "veracrypt.exe" ou "truecrypt.exe".

Question: VeraCrypt a-t-il été trouvé sur le système? yes

Question: TrueCrypt a-t-il été trouvé sur le système? No

 

 

 

Une question? Posez-la ici

Besoin d'aide ?

 

Pub de Cyber Triage le sponsor de ce cours gratuit
Conçu par l'équipe de Brian Carrier chez Basis Technology, Cyber Triage est sans agent et s'intègre à l'intelligence des menaces pour collecter et analyser automatiquement les données des terminaux.

 

Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit. J'espère que ça vous a plu.

 

Ce cours, avec TD, POC et QCM d'évaluation est composé de ces autres chapitres:

Modules ingest

Modules additionnels

Module Android

Moteur de corrélation

Recherche de mots avec SOLR et TIKA

Préparation CTF

CTF Renzik : UI

Writeup CTF Renzik

 

Vos commentaires/remarques sont les bienvenus: