Dans cette présentation vidéo, nous avons couvert l'analyse de disque et l'investigation judiciaire à l'aide d'Autopsy. Nous avons extrait des artefacts médico-légaux sur le système d'exploitation et ses utilisations. Cela faisait partie de Analyse de disque et autopsie.

Obtenir des notes d'investigation informatique

Le cours pratique complet sur les tests d’intrusion d’applications Web

What is a Disk Image?

A disk image file is a file that contains a bit-by-bit copy of a disk drive. A bit-by-bit copy saves all the data in a disk image file, including the metadata, in a single file. Thus, while performing forensics, one can make several copies of the physical evidence, i.e., the disk, and use them for investigation. This helps in two ways. 1) The original evidence is not contaminated while performing forensics, and 2) The disk image file can be copied to another disk and analyzed without using specialized hardware.

Disk Forensics Methodology

When performing an investigation on a disk, all we need is to parse the MFT to understand what exactly happened on the disk at the time of the attack: which files were modified, created, hidden, etc. The main advantage of directly parsing the MFT over simply mounting the partition using regular tools (mount on Linux) is to be able to inspect every corner of the sectors allocated to the system. We can thus retrieve deleted files, detect hidden data (Alternate Data Streams), check the MFT’s integrity, inspect bad sectors, get slack space, etc.

Disk Forensics with Autopsy

Avant de plonger dans l’autopsie et d’analyser les données, il y a quelques étapes à suivre : telles que l'identification de la source de données et les actions d'autopsie à effectuer avec la source de données. 
Basic&workflow:

  1. Créez/ouvrez le dossier pour la source de données que vous allez étudier
  2. Sélectionnez la source de données que vous souhaitez analyser
  3. Configurer les modules d'ingestion pour extraire des artefacts spécifiques de la source de données
  4. Examiner les artefacts extraits par les modules d'ingestion
  5. Créer le rapport
    We start by creating a new case or opening an already saved case. You can do that easily by following the wizard that pops-up once you open the program.

Réponses de la salle

Quel est le hachage MD5 de l’image E01 ?

Quel est le nom du compte informatique ?

Répertoriez tous les comptes d'utilisateurs. (ordre alphabétique)

Qui a été le dernier utilisateur à s'être connecté à l'ordinateur ?

Quelle était l'adresse IP de l'ordinateur ?

Quelle était l'adresse MAC de l'ordinateur ? (XX-XX-XX-XX-XX-XX)

Nommez les cartes réseau sur cet ordinateur.

Quel est le nom de l'outil de surveillance du réseau ?

Un utilisateur a ajouté un emplacement Google Maps à ses favoris. Quelles sont les coordonnées du lieu ?

Un utilisateur a son nom complet imprimé sur son fond d'écran. Quel est le nom complet de l'utilisateur ?

Un utilisateur avait un fichier sur son bureau. Il y avait un indicateur mais elle a modifié l'indicateur à l'aide de PowerShell. Quel était le premier drapeau ?

Le même utilisateur a trouvé un exploit pour élever les privilèges sur l'ordinateur. Quel était le message adressé au propriétaire de l'appareil ?

2 outils de piratage axés sur les mots de passe ont été trouvés dans le système. Quels sont les noms de ces outils ? (ordre alphabétique)

Il y a un fichier YARA sur l'ordinateur. Inspectez le fichier. Quel est le nom de l'auteur ?

L'un des utilisateurs souhaitait exploiter un contrôleur de domaine avec un exploit basé sur MS-NRPC. Quel est le nom de fichier de l'archive que vous avez trouvée ? (incluez les espaces dans votre réponse)

Vidéo pas à pas

, , ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles