Dans cette présentation vidéo, nous avons couvert l'analyse de disque avec Autopsy. Nous avons effectué une analyse médico-légale sur le disque pour extraire les artefacts. Le scénario est tiré de Autopsie TryHackMe chambre.
Découvrez comment utiliser Autopsy pour enquêter sur les artefacts d’une image disque. Utilisez vos connaissances pour enquêter sur un employé accusé d'avoir divulgué des données d'entreprise privée.
Obtenir des notes d'investigation informatique
Le cours pratique complet sur les tests d’intrusion d’applications Web
Faits saillants de la vidéo
Autopsy est une plateforme d'investigation numérique open source et puissante. Plusieurs fonctionnalités d'Autopsy ont été développées grâce au financement des sciences et technologies du Département de la sécurité intérieure. Vous pouvez en savoir plus à ce sujet ici.
La description officielle: “Autopsy est la première plateforme d'investigation open source rapide, facile à utiliser et capable d'analyser tous les types d'appareils mobiles et de médias numériques. Son architecture de plug-in permet l'extensibilité à partir de modules développés par la communauté ou construits sur mesure. Autopsy évolue pour répondre aux besoins de centaines de milliers de professionnels des domaines de l'application de la loi, de la sécurité nationale, du soutien aux litiges et des enquêtes en entreprise.”
Avant de plonger dans l’autopsie et d’analyser les données, il y a quelques étapes à suivre : telles que l'identification de la source de données et les actions d'autopsie à effectuer avec la source de données.
Basique flux de travail :
- Créez/ouvrez le dossier pour la source de données que vous allez étudier
- Sélectionnez la source de données que vous souhaitez analyser
- Configurer les modules d'ingestion pour extraire des artefacts spécifiques de la source de données
- Examiner les artefacts extraits par les modules d'ingestion
- Créer le rapport
Autopsy peut analyser plusieurs formats d'image disque. Avant de plonger dans l’étape d’analyse des données, abordons brièvement les différentes sources de données qu’Autopsy peut analyser. Vous pouvez ajouter des sources de données à l'aide de l'outil "Ajouter une source de données" bouton. Les options disponibles sont présentées dans l'image ci-dessous.
Formats d'image disque pris en charge :
- Célibataire brut (Par exemple : *.img, *.dd, *.raw, *.bin)
- Division brute (Par exemple : *.001, *.002, *.aa, *.ab, etc.)
- Enfermer (Par exemple : *.e01, *.e02, etc.)
- Machines virtuelles (Par exemple : *.vmdk, *.vhd)
S'il existe plusieurs fichiers image (ei E01, E02, E03, etc.), Autopsy n'a besoin que de pointer vers le premier fichier image, et Autopsy s'occupera du reste.
Réponses aux questions
Quel est le nombre de fichiers « Supprimés » détectés ?
Quel est le nom du fichier trouvé dans la section « Fichiers intéressants » ?
Quel est le nom complet de la version du système d'exploitation ?
Quel pourcentage du lecteur sont des documents ? Incluez le % dans votre réponse.
Générez un rapport HTML comme indiqué dans la tâche et affichez la section « Résumé du cas ».
Quel est le numéro de job du module « Identifiant des fichiers intéressants » ?
La majorité des événements liés aux dossiers se sont produits à quelle date ? (JJ MOIS AAAA)
Quel est le nom d'un programme installé avec le numéro de version 6.2.0.2962 ?
Un utilisateur dispose d'un indice de mot de passe. Quelle est la valeur ?
De nombreux fichiers SECRET ont été consultés à partir d'un lecteur réseau. Quelle était l'adresse IP ?
Quel terme de recherche sur le Web contient le plus d’entrées ?
Quelle a été la recherche sur le Web effectuée le 25/03/2015 à 21:46:44 ?
Quel binaire est répertorié comme fichier intéressant ?
La majorité des événements liés aux dossiers se sont produits à quelle date ? (JJ MOIS AAAA)
Vidéo pas à pas
