Conseils, services, ingénierie en informatique. Mise en place de solutions technologiques, et support, pour les entreprises.

Note utilisateur: 5 / 5

Etoiles activesEtoiles activesEtoiles activesEtoiles activesEtoiles actives
 

Writeup CTF Analyse forensique d'un système Windows avec Autopsy, CTF Renzik : UI

 

Une des épreuves de challenges préférés de l'équipe CTF LGHM

pwne les tous

  

La capture du drapeau ou « capturez le drapeau » (souvent abrégé en CTF pour Capture the Flag), est un mode de jeu par équipe . Ce type de jeu a été adapté dans divers domaines ainsi qu'en cybersécuritévoir https://fr.wikipedia.org/wiki/Capture_du_drapeau certains pour passer le temps font des mots croisés, d'autres du sudoku, nous c'est du CTF :-)

Comment devenir pentesteur? Résoudre les énigmes CTF, et c'est facile avec l'outil pwnator LGHM by Ponemon technologies qui est un framework qui résume les principales étapes du pentest. Ideal pour récolter un max de points lors des épreuves CTF dans les conférences infosec . Mais avant, il faut s'entrainer: Pour commencer, voici comment obtenir un code de parrainage hack the box

 

Bienvenue dans le writeup de Renzik! Il s'agit d'un CTF où les joueurs doivent retrouver Renzik, le chien kidnappé dont un gang demande une rançon au propriétaire. C'est parti!

  

Writeup CTF Analyse forensique d'un système Windows avec Autopsy, CTF Renzik : l'arbre

 

Les bases de l’interface

Tous les fichiers sont visibles depuis l’arbre vers le panneau de droite

 

Writeup CTF Analyse forensique dun système Windows avec Autopsy CTF Renzik UI

L’arbre, ici avec 5 noeuds de la source de données:

On voit les données organisées par disques et repertoires. Pratique pour trouver les fichiers dans un certain répertoire, par exemple, le répertoire Desktop.

 

Une question? Posez-la ici

Besoin d'aide?

Analyse forensique d'un système Windows avec Autopsy, write up CTF Renzik : vues et résultats

 

 

Les vues

Organisé par type de données : images, documents, executables
Organisation possible par signature MIME type
Pratique si on ne cherche que les videos par exemple, ou les images.
Par taille : on voit de suite les plus gros volumes.


Les résultats

Résultats des requêtes des modules ingest
Pratique pour voir d’un coup d’œil les programmes sinstallés, les cookies, les téléchargements, l’historique web, les recherches web.

 

 

Une question? Posez-la ici

Besoin d'aide?

Quel est le nom du fichier dans l’espace non alloué dans le volume 1 ? Unalloc_3_0_1048576

Clic doit sur vol7, détail du système de fichiers, quel est le file system ? NTFS

 

 Analyse forensique d un système Windows avec Autopsy write up CTF Renzik ntfs

 

 

Une question? Posez-la ici

Besoin d'aide ?

 

Ouvrir le répertoire « c:\case » et observer son contenu

Quelle est la base de donnée appelée ? autopsy.db
Taille de la base de donnée en Mb ? 225

 

 

Analyse forensique d'un système Windows avec Autopsy, write up CTF Renzik : les tags

 

Les tags qu’on a crée pendant l’enquête

 

Analyse forensique d'un système Windows avec Autopsy, write up CTF Renzik : les rapports

 

Les rapports générés

 

On peut lister les fichier par date, par toutes les colonnes

On peut faire des recherches par nom de fichiers, par exemple cheval

3 icones à droite des fichier signifient
-score : hash trouvé, intéréssant (le point d’exlamation rouge)

Writeup CTF Analyse forensique dun système Windows avec Autopsy CTF Renzik fscookie

 

- commentaire (les notes jaunes)
- le nombre de fois qu’on a déjà croisé cet objet (dans les études de cas antérieures)

Le nom des repertoires peut etre traduit. Si on a des noms en arabe par exemple et qu’on ne connait pas l’arabe c’est pratique

Le Thumbnail permet de voir des miniatures

 

Analyse forensique d'un système Windows avec Autopsy, write up CTF Renzik : le panneau de visualisation

 

On peut voir un apercu des videos et l’interieur des fichiers avec cet Hex Viewer. On peut lancer HXD si on a besoin de davantages de ressources.

Voir en tant que « Text/Strings »
On peut voir si c’est du texte encodé. On peut visualiser les images en tant que texte
Le parser reconnait les structures .PDF et .DOC
On peut lancer la traduction avec Google ou Bing

Applications / HTML
On voit le html téléchargé, les images

Emails : on peut retrouver des emails dans une banque de données par exemple outlook.pst

Annotations : on peut prendre des notes

Analyser de textes, voir basis technology

Writeup CTF Analyse forensique dun système Windows avec Autopsy CTF Renzik panneau de visualisation

 

Boutons de retour en arrière
On peut naviguer dans les précédantes enquêtes avec la flèche arrière

Le service de messagerie interne permet de s’echanger des messages entre collègues pour se tenir au courant des découvertes.

 

Regardons les données dans l’arbre.

1 Combien y a-t-il de bases de données là ? 59 on le voit dans view/file types/ By extension
2 quelle est la taille de la plus grande base de donnée ? 5 242 880 . On peut trier par taille
3 y a-t-il des bases de données de type MIME ? Non
4 Quels sont les noms des fichiers de taille entre 200 Mb et 1Gb ? $BadClus :$Bad , Winre.wim ,chrome.7z

 

PUB: Cyber Triage

Video triage : permet de voir des previews de video sans les regarder en entier.

Cyber Triage est un logiciel DFIR rapide et abordable que toute organisation peut utiliser pour la visibilité des terminaux. Conçu par l'équipe de Brian Carrier chez Basis Technology, Cyber Triage est sans agent et s'intègre à l'intelligence des menaces pour collecter et analyser automatiquement les données des terminaux.

 

Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit. J'espère que ça vous a plu.

 

Ce cours, avec TD, POC et QCM d'évaluation est composé de ces autres chapitres:

Modules ingest

Modules additionnels

Module Android

Moteur de corrélation

Recherche de mots avec SOLR et TIKA

Préparation CTF

CTF Renzik : UI

Writeup CTF Renzik

 

Vos commentaires/remarques sont les bienvenus: