Forensic (Investigation Numérique)

L'objectif est d'obtenir la timeline des actions qui ont menées à l'incident.

Principes :

Investigation : Autopsy

Autopsy c'est la vie !

Data recovery

file permet d'identifier le type d'un fichier.

photorec est un outil de récupération de fichiers.

testdisk est un outil de récupération de partition, il permet entre autre de parcourir des partitions sans avoir à les monter :

testdisk found_in_server_room.img
# Advanced > List

Memory analysis : Volatility

Profil de mémoire

# identifier le profil de mémoire
volatility -f memory.raw imageinfo

# tester et utiliser celui qui trouve le plus de process
volatility -f memory.raw imageinfo --profile=PROFILE pslist

Si le profil n'est pas reconnu, on va le créer :

  1. identifier la version strings dump.raw | grep -i "linux version"
  2. installer une VM avec l'OS identifié
    1. créer le profile de mémoire
  3. copier le zip dans plugins/overlays/linux/
  4. trouver le profile avec volatility --info, et l'utiliser

Commandes

Commandes intéréssantes :

# linux_mount
ramfs		/mnt/confidential		ramfs		rw,relatime

# linux_enumerate_files | grep "/mnt/confidential"
0xffff95a89ac72260		22114		/mnt/confidential/flag.txt

# linux_find_file -i 0xffff95a89ac72260 -O flag.txt
# cat flag.txt
C0D3N4M34P011011

Sur Windows

Sur Windows, le fichier hiberfil.sys contient la mémoire vive de l'ordinateur.

L'outil winpmem permet de faire un dump de la mémoire.

Regarder la mft