Physicaldriveo là gì

You're Reading a Free Preview
Pages 11 to 15 are not shown in this preview.

You're Reading a Free Preview
Pages 22 to 35 are not shown in this preview.

You're Reading a Free Preview
Pages 42 to 48 are not shown in this preview.

You're Reading a Free Preview
Pages 55 to 59 are not shown in this preview.

You're Reading a Free Preview
Pages 66 to 92 are not shown in this preview.

You're Reading a Free Preview
Pages 101 to 110 are not shown in this preview.

You're Reading a Free Preview
Pages 115 to 120 are not shown in this preview.

You're Reading a Free Preview
Pages 127 to 153 are not shown in this preview.

You're Reading a Free Preview
Pages 161 to 169 are not shown in this preview.

You're Reading a Free Preview
Pages 173 to 179 are not shown in this preview.

You're Reading a Free Preview
Pages 190 to 196 are not shown in this preview.

You're Reading a Free Preview
Pages 201 to 206 are not shown in this preview.

You're Reading a Free Preview
Pages 214 to 221 are not shown in this preview.

You're Reading a Free Preview
Pages 225 to 229 are not shown in this preview.

See other formats

^^^^^^ 2012 Forensics Recherche conformations a froid Acquisition de preuves et analyse a froid d'un systenne sous Windows Cedric BERTRAND //lepouvoirclapratique.blogspot.fr/ 08/04/2012 Table des illustrations 3 Resume 4 Introduction 4 Dans quels cas utiliser I'analyse forensique ? 5 Les differentes approches 5 La methodologie 5 Les outils 6 L'etude 7 1] L'acquisition des donnees 7 a] La copie du disque 7 b] Le nnontage de I'innage 9 c] Convertir une image en machine virtuelle 13 2] L'analyse du disque 13 d] L'identification du systeme 13 e] La recuperation des fichiers effaces 14 f] L'analyse de la base de registre 15 g] Analyses des fichiers logs / evenements 19 h] L'analyse des traces de connexion Internet 20 i] La recherche de fichiers 21 j] La recuperation d'informations sensibles 23 Conclusion 32 Challenges 33 Live-Cd forensics 34 Bibliographie 36 Table des illustrations Figure 1 Creation d'une image disque avec FTK imager 7 Figure 2 Copie du disque realisee 9 Figure 3 Fichier image sous forme de fichier zip 10 Figure 4 Montage de I'image avec FTK imager 10 Figure 5 Image accessible par gestionnaire de fichiers 11 Figure 6 Monter une image avec OSForensics 11 Figure 7 Image montee et accessible via un explorateur de fichiers 12 Figure 8 Recuperation des fichiers effaces 14 Figure 9 Effacement securise avec Ccleaner 15 Figure 10 Analyse de la base de registre avec RegRipper 15 Figure 11 Informations extraites sur la version de Windows utilisee 16 Figure 12 Fichiers executes sur la machine 16 Figure 13 Volumes montes sur le poste 16 Figure 14 Documents recemment ouverts 17 Figure 15 Fichiers pdf recemment ouverts 17 Figure 16 Recuperation des documents recemment ouverts 17 Figure 17 Programmes qui demarrent avec Windows 18 Figure 18 Recuperation du nom de la machine 18 Figure 19 Recuperation des parametres du proxy 18 Figure 20 URL tapees dans Internet Explorer 19 Figure 21 Analyse de fichier log avec I'outil rtCA 20 Figure 22 Analyse web avec NetAnalysis 21 Figure 23 Analyse web avec Web Historian 21 Figure 24 Creation d'un index avec Forensic Toolkit 22 Figure 25 Creation d'un index avec OSForensics 23 Figure 26 Syskey Decoder 24 Figure 27 Emplacement de la ruche system 24 Figure 28 Extraction de la cle de chiffrement 24 Figure 29 Extraction des comptes utilisateurs de la machine 25 Figure 30 Comptes utilisateurs extraits 25 Figure 31 Cassage des mots de passe 25 Figure 32 Recuperation des hash avec OSForensics 26 Figure 33 Recuperation des mots de passe du navigateur 26 Figure 34 Recuperation des mots de passe stockes par Firefox 27 Figure 35 Extraction des secrets LSA 27 Figure 36 Recuperation du mot de passe VNC 28 Figure 37 Password Recovery Toolkit Forensic 28 Figure 38 Crackage du mot de passe d'un fichier protege 29 Figure 39 Cassage de mots de passe avec OSForensics 29 Figure 40 Crackage de containers Truecrypt 30 Figure 41 Cassage d'un container TrueCrypt par analyse de la memoire vive 30 Resume De plus en plus utilisee dans le cadre d'enquete ou de Texpertise legale, Tanalyse forensique qui consiste a effectuer des recherches sur une nnachine, necessite nnethodologie et outils afin d'etre menee a bien. Au cours de ce document, nous verrons la nnethodologie et les outils utilises afin d'effectuer et d'analyser la copie d'un ordinateur sous Windows. Introduction Le terme anglais Forensics [lien ] designe les recherches effectuees sur une machine suite a sa compromission par exemple, afin d'en determiner les causes et de juger de I'etendue des dommages. 1 La definition de Wikipedia : « On designe par informatique legale ou investigation numerique legale I'application de techniques et de protocoles d'investigation numeriques respectont les procedures legales et destinee a apporter des preuves numeriques a la demande d'une institution de type judiciaire par requisition, ordonnance ou jugement Ce concept, construit sur le modele plus ancien de medecine legale, correspond a I'anglais « computer forensics ». » Une definition plus formelle pourrait etre : Taction d'acquerir, de recouvrer, de preserver, et de presenter des informations traitees par le systeme d'information et stockees sur des supports informatiques. Ces investigations suivent generalement 3 grandes etapes : - L'acquisition de donnees : Cette etape consiste a recuperer les donnees d'une machine dans le but de les analyser. II faut evidemment eviter toute modification du systeme et des informations elles-memes. L'approche sera differente suivant que le systeme est en cours d'execution ou arrete. - Le recouvrement de donnees : Un fichier efface sur un disque dur Test rarement de fagon securisee. Les informations concernant ce fichier y restent souvent physiquement. II est done generalement possible de recouvrer ces fichiers a partir de I'image d'un disque dur. On emploiera par exemple la technique de "file carving" [ lien ] qui consiste a faire une recherche sur I'image disque par rapport au type des fichiers. - L'analyse de donnees : Une fois les donnees recuperees, il faut les analyser ; la facilite de I'analyse est etroitement liee aux competences du pirate. Certains ne tenteront pas de se dissimuler, laissant des traces voyantes un peu partout sur le systeme [dans les journaux systemes, les fichiers de traces applicatives, etc. ...]. D'autres auront pris soin d'effacer un maximum d'elements pouvant trahir leur presence ou leur identite jusqu'a ne rien ecrire sur le disque [intrusion par Meterpreter par exemple - lien ]. //www.secuobs.com/news/02082007-forensic lexfo.shtml Dans quels cas utiliser I'analyse forensique ? Lors d'un incident de securite au sein d'un SI, il est necessaire de connprendre le nnode operatoire de I'attaquant afin de retracer ses actions, nnais egalennent de pouvoir collecter assez de preuves pour pouvoir porter plainte [pedo-crinninalite, intrusion, etc.]. L'analyse forensique peut etre par exennple utilisee dans le cas de : Analyse de nnalwares Recuperation de preuves en vue d'une plainte [intrusion, pedocriminalite, proces, etc.] Test d'intrusion Recuperation de donnees - Etc. Pour cela, plusieurs techniques sont utilisees ^: • Recuperation de fichiers effaces • Analyse des logs • Analyse des fichiers infectes • Analyse de la nnennoire • Extraction des infornnations pertinentes • Etc. Dans le cas d'une plainte, il faudra neanmoins veiller a assurer Tintegrite des donnees, celles-ci ayant vocation a etre presentees devant la justice. Les differentes approches Trois types de collecte peuvent alors etre detailles, a savoir le "dead" forensics [systeme eteint - analyse de disque], le "live" forensics [systenne allunne - analyse de la memoire vive] et le "nnixed" forensics [analyse de la nnennoire vive & analyse du disque]. Dans le cas present, nous limiterons nos investigations a Tapproche a froid [dead forensics]. La methodologie L'analyse forensique exige de la methodologie. II va s'agir de collecter et de preserver les preuves. II est done recommande de suivre un guide des bonnes pratiques afin de pas alterer/modifier les donnees analysees. Un point essentiel de Tanalyse forensique est la documentation et Thorodatage des actions effectuees. Voici un exemple de methodologie d'analyse forensique sous Windows : 1. Colliger [collecte] a. Deconnecter le poste du reseau b. Sauvegarde / analyse de la memoire vive c. Effectuer un clone du disque dur d. Effectuer un calcul de Tempreinte de Timage afin de s'assurer de I'integrite des ^ //www.lestutosdenico.com/outils/analyse-forensique-completement-sick donnees [calcul hash SHA-1-^] 2. Examiner a. Recuperer les fichiers effaces b. Analyser la base de registre c. Analyser les logs / journaux d'evenements d. Analyser les traces de connexion Internet e. Extraire les comptes utilisateurs de la machine f. Extraire les informations pertinentes avec Tevenement 3. Analyser a. Interpretation des informations obtenues [source de incident] 4. Signaler a. Depot d'une plainte Pour plus d'informations sur la methodologie, vous pouvez consulter le document suivant : Analyse forensique - Regies et methodes a suivre . Les outils Au cours de ce document, je citerais de nombreux outils et les liens ou nous pouvons les telecharger. Parmi ceux que j'ai le plus utilises, je peux citer : Access FTK Imager^ OSForensics^ Forensic Toolkit^ II existe bien sur des outils beaucoup plus puissants tels qu' Encase^, neanmoins ce type d'outil est bien souvent payant et de par le prix des licences, celles-ci se trouvent difficilement accessibles aux particuliers. Dans ce document, Taccent sera done mis sur les outils gratuits ou open-source. ^ //fr.wikipedia.org/wiki/Fonction_de_hachage ^ //accessdata.com/ ^ //www.osforensics.com/ ^ //accessdata.com/ ^ //www.guidancesoftware.com/forensic.htm L'etude Concernant le poste a analyser, j'ai hesite a mettre a disposition un lien vers une innage. Neannnoins ceci ne nne sennblait pas ni utile, ni tres pertinent [taille de Tinnage, donnees personnelles]. Le plus sinnple que je puisse conseiller est Tinstallation d'une nnachine virtuelle avec un logiciel du type Vmware^, Virtual Box ^ou encore Virtual PC^^ puis d'utiliser ce poste un certain tennps afin d'accunnuler quelques donnees interessantes a recuperer [installation d'un navigateur, logiciels de messagerie/lecteur pdf, enregistrennent des nnots de passe, navigation web, creation de fichiers proteges par nnot de passe, etc.]. Puis de creer une copie de ce disque afin d'y effectuer les nnanipulations decrites dans ce docunnent. Une fois votre poste installe, configure et utilise un certain tennps, nous pourrons passer a la premiere etape a savoir Tacquisition des donnees. Cette etape consiste a recuperer les donnees d'une nnachine dans le but de les analyser. II faut evidemment eviter toute modification du systeme et des informations elles-memes [analyse du systeme en lecture seule]. a] La copie du disque L'acquisition c'est lorsque vous faites une copie bit par bit des donnees stockees sur le materiel saisi [avec la commande DD ou d'autres outils...] Concernant la copie d'un disque, de nombreux outils sont disponibles dont : - He//x [tutorial ici^^] Dd [ //www.ossir.org/resist/supports/cr/20070925/Roukine-Forensiques.pdf ] Encase^^ Un excellent article de Zythom sur ce theme est disponible ici : Recuperation des donnees, faites la vous-meme. D'autres outils sont aussi decrits sur cette page . Voyons la demarche avec FTK Imager, qui lui permet aussi la copie d'un disque dur. //www.vmware.conn/fr/ ^ //www.virtualbox.org/ //www.microsoft.com/windows/virtual-pc/default.aspx //www.creativeo.net/ii-forensique-lacquisition-de-donnees-ewfacquire/ //www.forensicswiki.org/wiki/EnCase 1] L'acquisition des donnees Figure 1 Creation d'une image disque avec FTK imager On selectionne ensuite la partition ou le disque dur que I'on souhaite sauvegarder [ici un disque sous Vmwore] et la destination de notre sauvegarde. Select Drive Source Drive Selection Please select from the following available drives: APHVSICALDRIVEO -VMware Virtual IDE Hard Drivo 5 368 h < Pr^c^dent Finish Cancel Select Imagie Destination Image Destination Folder I E:\Image DD Image Filename [Excluding Extension] r Image Fragment Size [MB] | 1500 For Raw and EOl formats: □ = do not fragment Compression [□=Nonej l=Fastestj ...^ 9=Smallest] | O Use AD Encryption I : Precedent Finish Cancel Help Create Image -Image Source - I \\.\PHYSICALDRIVEO — Image DestinationCs^ - Starting Evidence Number: | 1 E:\Image DD\case [raw/dd] Add. Edit. Remove 1^ Verify images after they are created [ Precalculate Progress Statistics I Create directory listings of all files in the image after they are created Start I Cancel | Apres la copie du disque, un hash^^ de rimage est realise afin de pouvoir verifier Tintegrite de notre innage. //fr.wikipedia.org/wiki/Fonction_de_hachage General rJame case.OOl Sector count 104SB2:16i MDS Hash [Zomputed hash FSS 1 gSTT-baSBSe 1 dSbdFSaSOaFbaeT-Sd Report Hash FSS 1 gSTT-baSBSe 1 dSbdFSaSOaFbaST-Sd Verify result Match 5HA1 Hasl-i [Zomputed hash 3FBg 1 a 1 cac^yseSOBeSeSyyScFSdbFBFaSFS^ 1 B Report Hash 3FBg 1 a 1 cac^yseSOBeSeSyT^ScFSdbFBFaSFS^ 1 B Verify result Match Bad Sector List Creating Imagje... Image Source : | \\.\PHYSICALDRIVEO Destination: | E:\Image DD\case Status: I Image created successfully — Progress Elapsed time: | 0:12:35 Estimated time left: | Image Summary. . . Close Q cacse.001 ^ case.001.txt □ case.002 Q case.003 □ case.004 Figure 2 Copie du disque realisee Par souci de securite, ne pas hesiter a faire une copie de sauvegarde du fichier image. b] Le montage de Timage Une fois la copie realisee, il va falloir monter celle-ci sur un autre poste afin de pouvoir Tanalyser. Pour se faire, il existe les outils suivants : Lmdisk^^ [emuler un ou plusieurs lecteurs de disques] FTK imager Encase Par exemple, dans le cadre d'un travail pratique dans mon cursus professionnel, nous avions a notre disposition un fichier zip representant partiellennent un disque dur. //www.ltr-data.se/opencode.html/ Ciais.^ip\C-ais - ZIP archive la taille non compiressH&e nest de X 094 33S 9*99' J^l Documents and Settings ijiyj Program Files iJUi Windows Si SLogFile S SMFT Figure 3 Fichier image sous forme de fichier zip Pour monter ce fichier zip, nous allons utiliser I'outil Access FTK Imager^^. Monter une image avec FTK imager Cet outil va nous permettre de monter notre fichier image comme un disque. Ne pas oublier de realiser une copie de sauvegarde de Timage avant tout travail. On selectionne notre image puis on la monte. On choisit de la monter en lecture seule [read only] afin de ne pas modifier les fichiers et ainsi ne pas fausser notre analyse. Access Data FTK Imager 3.0.0.1443 View Mode Help File ^ Add Evidence Item... ^ Add AJI Attached Devices ^ Image Mounting. Mount Imag-e To Dnve Add Image Image File: I D: V^rojets\Cours^Mamen fbrensjcs\Cas.zip 1 Logical Only |NeMt Available [F:] |File System / Read Only Write Cache Folder: I D : V^rojets\Cours^xamen "forensics Figure 4 Montage de Timage avec FTK imager Notre innage devient ainsi accessible via un explorateur de fichiers. 'Mapped Innage List Mapped Images: jfive Method Partition Image File Svstem/Read Onlv File System D: V^roiet3\Cours\Examen fbrensics\Ca£ //accessdata.com/products/computer-forensics/ftk J a Disque local [F:] J 1^ Ces t> . Documents and Settings !> Program Files l> ^ Windows Figure 5 Image accessible par gestionnaire de fichiers Monter une image avec OSForensics Dans le cas de la sauvegarde du disque realisee precedennnnent, on peut aussi utiliser Toutil OSForensics. OSForensics - Irii Drive Preparation Create Drive Imag« Mount Drive Image Figure 6 Monter une image avec OSForensics On clique sur « Mount New » et on selectionne notre fichier innage. jgg^assMark Software OSFMoor 9c Drrvc actions Hrip Mounted virtual disks Dnve Image H& r%&tim Fie system ^OSFMounit - Mount dnve ^ n Source [o Image file Innage file Innage file in RAM Ennpty RAM drive □ Select Tmage file Regander dans : |, Image □□ Emplacements recents 1 JTog jrajm E"XXes\^siJ.s\ EeeE^C ^CE* l\ As^Vop^Xs^jr _ ej!te [j&.sus Eee PC S-C E^X S e ^X c; e ] C z \E^3rogjrajm. E"XXes\ EXa.rLt eoti.\ETDC: t nrX _ essie [ETD Wa.3re T3R. | EritiL^nLoemertt s ] C z \ 3 Y^sfa epi \ £a.c:-bojry_ e ssie [ E"^ ctojry pure — X rxs ta.XX^1i.XorL nt X X X t > Figure 12 Fichiers executes sur la machine Volumes monies Autre information interessante : les points de nnontage. Utile pour savoir si un disque dur chiffre [avec TrueCrypt ^^par exennple] a ete nnonte : MouLTX-t P o i TXt s 2 S o f t wa. r e \ Mi c jt o s o ft \ W i_ ixdo ws \ C mr jt e ix t Ve jt s i o tl\ E jsip 1 o r e r XMoiint Po i Jit s 2! IiastWirite Time Sun. Jul 2 0 20:38 :5 9 2003 [TJTC> Remote Dnrives : Volumes : Suzi Jul 20 2 0:39: 5Si 20 oe [ UTC> {105G3ec0- Ot.5t.- XXdci- aX42 -eOGciGXVS G9Gf { 105G3ecl- ot-st.- lldd- ^14 2 -a06dG172 GSGf { 105e3ec2- Ot3 5t3- lidd- ai42 -a 0GdGi72 G9G£ {27aaa040- 05 4ci- lidd- a eee -a 0GdGi72 G9G£ { 70f 29240- Ooa7- XXdci- aa2 0 -a 0GciGX72 G9Gf Figure 13 Volumes montes sur le poste Une autre infornnation interessante a recuperer concerne les documents recemment ouverts //www.nirsoft.net/utils/muicache_view.html //www.truecrypt.org/ Liste des documents recemment ouverts La liste se trouve dans a la cle NTUSER\Software\Microsoft\Winclows\CurrentVersion\Explorer\RecentDocs [RecentDocs ^^All values printed in MRUListXtlRUListEx order- Sof tware\Micro30 ft \Window3\ Cur rentVersionX Explorer \Recent Docs IiastWrite Time Wed Apr 11 12:23:07 2012 [UTC] 23 = COFEE ORIGINAIi TORRENT 28 = READ ME FIRST I - txt 27 = Passware Kit Forensic 10-1 26 = Working Serial -txt 25 = SourceDir 24 = User Guide for COFEE vll2.pdf Figure 14 Documents recemment ouverts Idem avec les fichiers pdf. Adoberdr v- 20100218 Adobe Acrobat Reader version 9-0 located- S o f twar e \ Adobe \ Ac r oba t Re a de r \ 9 - 0 \ AVGe ne r a 1 \ cRe cent Fi les Most recent PDF opened: Thu Apr 5 09:03:51 2012 [UTC] cl /C/Documents and Settings/Ced/Mes documents/COFEE/SourceDir/User Guide for COFEE vll2-pdf Figure 15 Fichiers pdf recemment ouverts II est aussi possible de recuperer ces informations avec OsForensics. ^ Recent Activity @i Search all items O Search date range only Q Include dateless items | Scan | From: 1 0- avr. -201 2 T o: 1 0- avr. -201 2 H © Live Acquisition of Current Machine [i*] Scan Drive: [f:\ ] File List | Timeline | cmd f^^Si Activity Type: Window.s Run MRU jSSj U 5e r: Ce d , Lo catio n : F:\D o cu me nts a n d S e ttin g 5\Ce d\N TU S ER. D AT\S oft wa re\M icrc >soft\Win d 0 w5\Cu rre ntVe re on\Explorer\RunMRU\ iexplore ActN'ity Type: Windows Search MRU Path: User: Ced^ Location: F:\Documents and Setting5\Ced\NTUSER.DAT\Software\Microsoft\Search Assi5tant\ACMru\5603\ savexp.mem ActN'ity Type: Windows Search MRU Path: User: Ced^ Location: F:VDocunnentE and Settings\Ced\NTUSER.DATVSoftware\Microsoft\Search AssiEtant\ACMru\5603\ m.php Activity Type: Word pad MRU Path: C:\Documentsand Setting sVCed\MeB docunnentsVCRIMEPACK 3.0VCRIMEPACK 3.0\exploits Use r: Ce d^ Location : F:\Docu me nts a n d S e ttin g sVCe d \N TU S ER. D ATVS oft wa re\M icrosoft\Win d o ws\Cu rre ntVe rsio n VAp p letEVV/o rd pa d VRe ce nt File Ll5t\ Figure 16 Recuperation des documents recemment ouverts //forensicartifacts.com/2011/02/recentdocs/ Programmes qui se lancent avec Windows utile dans le cas d'analyse de malwares, la plupart des programmes se langant au demarrage de la machine utilisent souvent ce biais. Les informations se trouvent dans la ruche Software\Microsoft\ Windows\CurrentVersion \Run S o f twa re \ Mi c r o a o ft \ Wi ndows \ Cur re nt Ve r s i o n\RuTi LastWrite Time Sat Apr 5 19:07:43 2008 [UTC] CTFMON-EXE -> C:\WINDOWS\3y3tein32\CTFMON-EXE Figure 17 Programmes qui demarrent avec Windows Nom de la machine et utilisateur Pour recuperer le nom de la machine ainsi que Tutilisateur, on peut utiliser Tutilitaire rip avec le plug- in "system" : D:\flttaque\ForensicsSTools\Base de resfistre\rr_tools>rip-exe -r F:\CasSUindousSS iFsteii32\conf igSsysten -f system Parsed Plugins file. Launching cDmpname u. 20090727 Computer Name = V0UR-9BC5H1 JI UR D:\flttaque\Forensics\Tools\Base de registre\rr_too Is >r ip . exe -r D:\Temp\TiTip\NTUS ER.dat — p logon us ernapie Launching logon us ernairie u. 20080324 Logon User Name Soft ware \Microsoft\Uindous\CurrentUersion\Explorer LastUrite Tine [Sun Jul 20 20:38:59 2008 ] Logon User Name = Propri |-®taire Figure 18 Recuperation du nom de la machine Parametres du proxy Recuperer des informations sur le proxy utilise peut aussi s'averer une demarche interessante [presence parfois d'un compte utilisateur] D:\flttaque\Forensics\Tools\Base de registre\rr_too Is >r ip . exe -r D:\Temp\Tmp\NTUS ER _ dat — p pro x vs e 1 1 in gs Launching proxysett ings v. 20081224 Pr o xyS e 1 1 in gs Sof twareSMicrosof t\Uindous\CurrentUers ion\I nternet Sett ings LastUrite Time Sun Jul 20 20:38:59 2008 AutoConf igProxv uininet.dll EmailName lEUsert? EnableHttpl_l 1 EnableNegotiate 1 I E5 _U fl _Bac kup_F lag 5 . 0 Migrate Pro XV 1 MimeExc lus ionListForCache mult ipart/mixed mult ipart/x— mixed— replace multi part /x— byt e ran ge s NoNetAutodial 0 Priuacv^duanced 0 ProxyEnable 0 UseSchannelDirectlv 1 User Agent nozilla^4.0 UarnOnPost 1 Figure 19 Recuperation des parametres du proxy Liste des URL tapees dans internet Explorer La liste des adresses tapees dans internet Explorer est aussi accessible. Sof twa.3re\Mic; JTOsof t XlriLt:. eime t Ejstplor \ T ypeciORXiS IiastWirite Time Fnri &pyjr 6 14 = 53:50 20T_2 [OTC] uirH — >- tkt tp- 1 //nrertrtes . orLvasoirt inr . com/ uirlS — >- ht tp I //g"oogle . f r / TLi.3rl3 —>- ht tp I //gmail _ com/ \j.jrl4 — >- ht tp I //www _ micarosof t _ com/ isa.pi/ jrecii JT . cill ?p jrci=i_e &p v-e jr = 6 £: a. r =ms rxtLome Figure 20 URL tapees dans Internet Explorer II existe encore de nonnbreuses infornnations interessantes a explorer, pour plus d'infornnations, vous pouvez consulter ce docunnent . g] Analyses des fichiers logs / evenements Tout connnne la base de registre, les journaux d'enregistrennent peuvent etre une source d'infornnations tres riches. Ceux-ci localises dans le repertoire « Windows\System32\Config », sont actives par defaut sur la plupart des systennes Windows [application, securite, system]. En analysant ces fichiers, on peut trouver rapidennent un evenennent repetitif [tentatives multiples de login par exemple qui peut traduire une tentative d'intrusion ou un malware par exemple] qui peut donner des pistes. Concernant Tanalyse des fichiers logs, evenements, il existe : Log Parser^^[outil qui permet un acces universel aux fichiers journaux] Evtrpt.pl^^ [script perl permettant d'etablir des statistiques] RtCA^^ [outil d'aide aux analyses] Avec ce dernier outil, on peut analyser de maniere simple et detaillee un fichier log. I RtCA V0.2.S-7 - //code.google.eom/p/orrinia-projetcs/ [°] Audrt logs Files ^egistry/AC Applications El - Audit logs FACas\Windows'^SysteiTi32\oDnfi^tSsdEvent.Evt El - Files path F:\CasWin daw s\SystemS2^co n T\q\ F:\Ca sWVin d o w s\Sy stemS2^co n figi. El - Registry files F ACasWVindiQ ws\System32\co n figVso fl: w are FACas\Windo ws^SystemSZ^CD n fig\system ApplicatiDns files Process -Tests - Audit log Files. En able ACL check 1^ Enable file type check |~ SHA256 files hash [slow] 1^ Enable ADS search \^ Registry | Dump local registry fslow] I Registry recovery mode \^ Enable sofl:ware configuration n~ Enable state [slow] //technet.microsoft.com/fr-fr/scriptcenter/dd919274 //windowsir.blogspot.fr/2009/03/eventlog-parsing.html //omni-a.bloRSpot.fr/2011/10/rtca-v01-outil-daide-aux-analvses.html \ RtCAv02.87 - //code.goog lexom/p/omnia-prc^ Settings 1 A udK logs Files Registry/AD J Applications Process | File/... Index 1 D 1 Date Source Description 1 Type 1 User-SD c.| F:\Ca.. 000... 005.. 2010/03/11 -02:5... Security Security/Y0UR-9BC5H1JNVR/ SERVICE LOCAL AUDI... AUTORfTE rmSERVICE L0CALSD:S-1-5-19 X F:\Ca.. 000... 005.. 2010/03/11 -02:5... Security SecurityA'0UR-9BC5H1JNVR/ SERVICE LOCAL AUDI... AUTORITE NT\SERVICE L0CALSID:S-1-5-19 X F:\Ca.. 000... 006.. 2010/03/11 -02:5... Security SecurityA'0UR-9BC5H1J^VR/ Les services IPSec n ont pas pu obt... AUDI... AUTORfTE rmSERVICE RESEAUSID:S-1-5-20 F:\Ca.. 000... 006.. 2010/03/11 -02:5... Security SecurityA'0UR-9BC5H1JNVR/ Les services IPSec ont demarre corr... AUDI... AUTORFTE NT\SERVICE RESEAUSID:S-1-5-20 F:\Ca.. 000... 005.. 2010/03/11 -02:5... Security SecurityA'0UR-9BC5H1JNVR/ Secondary Logon Service AUDI... AUTORFTE NT\SystemeSID:S-1-5-18 F:\Ca.. 000... 005.. 2010/03/11 -02:5... Security SecurityA'0UR-9BC5H1JNVR/ SERVICE LOCAL AUDI... AUTORFTE hmSERVICE L0CALSD:S-1-5-19 X F:\Ca.. 000... 005.. 2010/03/11 -02:5... Security SecurityA'0UR-9BC5H1JNVR/ SERVICE LOCAL AUDI... AUTORFTE NT\SERVICE L0CALSID:S-1-5-19 X F:\Ca.. 000... 005.. 2010/03/11 -02:5... Security SecurityA'0UR-9BC5H1JNVR; SERVICE RESEAU AUDI... AUTORFTE NT\SERVICE RESEAUSID:S-1-5-20 X FACa.. 000... 005.. 2010/03/11 -02:5... Security SecurityA'0UR-9BC5H1JPB [Virus Recovery D... astDlg::OnTimer[] - Invalid key was inserted.. aswSpla... INFO... INFO... F:\Ca8\Windo w s\Sy stem32^co n fig\Antivirus. Evt 000... 000... 2009/02/13-20:0... avast/YOUR-9BC5mjlWR/asv;Splash - program run information: CaswAv astDlg::OnTimer[] - Invalid key was inserted.. aswSpla... INFO... F:\Cas\Windows\Systenn32\config\Antivirus.Evt F:\Cas\Windows\System32\config\Antivirus.Evt F:\Cas\Windows\System32\config\Antivirus.Evt 000... 000... 000... 000... 000... 000... 2009/02/14-04:4... 2009/02/14-04 4. . 2009/02/14-04:4... avast avastA'OUR-9BC5H1JIWR/Error in asv/ChestC: chestOpenList Error 1753. avast/Y0UR-9BC5H1JIWR/asv/Chestlnterface - Program error description avast/YOUR-9BC5H1JI\eu. S9 Locmx: 1S/D3/3012 21:^.-03]60. lS/03/20 12 22:46:03 jeu. 2 V- Gedtte: #cooliie iJ lS/M/2012 2l:4>.49|eu. lS«A»/20 12 22:47:49 leu. 7 CDcMe: f »lpllHil^ %coche 15A>3/20l2 2l;47:43]eu. 15/03/2012 22:47:43 Xu. 3 Co6De: □ 13/03/2012 21:47:36 leu. lVO>3i/20 12 22:47:36 jeu. 322 V Coddi: 15/D3/2012 21:47:l8|eu. lSA]3/2012 22:47:18]eu. 3M V Codbe: i^eboramd.fr/ #COQl«t a 15/03/3012 21:47: t»Ku. lS/03^ 12 22:47: iSieu. 5117 V Codbt: #cootoe u 15/D3/2012 21:47tl7jeu. lS/03/20 12 22:47: 17|eu. 58 Codoe: i 9^ •A2J^.n£t/ Figure 22 Analyse web avec NetAnalysis MANDIANTWebHistorianl File Edit View Tools Help I WebHetory Cookie History of34 ►►If I Download Hetoiy Fbiin Htetoiy PrafHe BrowserName BrowserVersion Usemame RleName FiePath CookiePath CookieName CookieVahje Creation Date BtpirationDate Cookies Internet Explorer [unknown] vince CS0SCW7l.txt F:\Cas\Documen . chevroletrouteSG ... WT_FPC id=86.73.222.95- 2012-01-10111:4.. 2022-01-07102:4 1 Cookies Intemet &[plofer {jnknown] vince C90SCW7lJxt F:\Cas\Oocumen... chevroletioute€6. . . . WT_NVR [W 2012-01-10111:4... 2022-01-07111:4... Cookies Internet Explorer [unknown] vince C90SCW7l.txt F:\Cas\Documen... chevrDletrouteGG... frchevyrtSGa 1 2012-01-10111:4... 2037-12-31123:5... Cookies jntemet Btpkxer ^jnknown] vince SGN2ZKND.txt F:\Cas\Documen... godanphamiir/ _iJtiTia 94833546.48716... 2011-10-27719:5... 2013-10-26719:5... Cookies Intemet Explorer [unknown] vince SGN2ZKND.txt F:\Cas\Documen... goelanpharTn.fr/ ^utmz 94833546.13197.. 2011-10-27T195... 2012-04-27707:5,,. Cookies Intemet ^cplorer {unknown] [1].txl Cookies Intemet Explorer [unknown] vince 6IRUA7FG.txt F:\Cas\Documen... msn.com/en-ima... Sample 38 2011-09-16121:4... 2012-03-16721:4... Cbckies Intemet O^Jwei ^mknown] 3D300P7GJXI F:V^\Documen... hotd-de^a-poste-... _ulina 1837B2239.3747.. 2011-08-10T17K].. 2DiaOW»T17:0... Cookies Intemet Explorer [unknown] vince 3D300P7G.txt F:\Cas\Documen... hotel-de^a-poste-... ^utmz 183762239.1312... 2011-08-10117:0... 2012-02-09705:0... Cookies Intemet Explorer [unknown] vince vince @www.bing[1]i3d Figure 23 Analyse web avec Web Historian Pour ceux que le sujet interesse, voici une liste d'autres liens : //www.svmantecxom/connect/articles/web-browser-forensics-part-l //www.forensicswiki.org/wiki/lnternet Explorer History File Format i] La recherche de fichiers II peut etre parfois fastidieux d'effectuer des recherches de fichiers sur un disque dur, de par la nnultitude des fichiers existants. Heureusennent il existe des outils pour nous aider dans cette tache. Parnni eux, nous pouvons citer : Access Forensic Toolkit^^ OSForensics - Scalpel^^ - Sleuth Kit Par exennple avec Toutil Forensic Toollistem32\conf ig\SAM~ Boot Key [HEX] 1 4690672e72Sf 5abf bc4S3b4dbb4ba1 c4| Apres avoir clique sur le bouton « next », on obtient alors Tensennble des connptes utilisateurs du systeme analyse. User Name LM Password < a 1 NT Password 1 LM Hash 1 NT Hash 1 challenge 1 Type Ad m i n i strateu r * empty * * empty * Invite * empty * * empty * X SUPPaRT_388945a0 * empty * AAD3B435B51... 594BDAB2ED8... LM & NTLM X ASP NET FCBDBC080AB... 421F380284C5... LM & NTLM X HelpAssistant 9FB76119A144... 32844305 A9A9... LM & NTLM autodiagprog * empty * * * empty * AAD3B435B51... 31D6CFE0D16... LM & NTLM Figure 30 Comptes utilisateurs extraits Le connpte administrateur a un nnot de passe vide, nnais si ce n'est pas le cas, Cain propose des nnethodes pour casser le nnot de passe. Un sinnple die droit sur le compte permet de choisir sa nnethode. XE X HelpAs autodia Di c±i on a ry At±a ck Brute-Force Attack C ry pta n a ly si s Atta ck R.a i n b owe ra c k- O n I i n e ActiveSync gFB761igA1444F.-. 32S44305Aa A9 II1&- LM Hashes -t- chalTenge NTLM Hashes NTLM Hashes + challenge NTLM Session Security Hashes Figure 31 Cassage des mots de passe On peut aussi obtenir le nnenne resultat avec OSForensics. Passwords I Find Browser Passwords | Windows Login Passwords | Generate Rainbow Table | Retrieve Password y Retrieve Hashes [._ • Live Acquisition of Current Machine IVI Test common passwords o Scan Drive: F:\ User Administrateur Invite HelpAssistant SUPPORT_3SSS.. Ced ASPNET LM Password [unknown] [disabled] [unknown] [disabled] [disabled] [unknown] NT Password [unknown] [disabled] [unknown] [unknown] [unknown] Figure 32 Recuperation des hash avec OSForensics LM-Hash F477D34BE1 DA025BGG45.. [disabled] 9BCG1 BSG47GS93549S4A... [disabled] [disabled] D4C3F9G353B02S293F0G... Extraction des mots de passe des navigateurs Pour une liste des emplacements ou Windows stocke les differents mots de passe, le document suivant est consumable en ligne : Password Storage Locations For Popular Windows Applications Toujours avec OSForensics, \\ est possible de scanner une machine afin d'y recuperer les mots de passe des differents navigateurs. FindB rowser Passwords | Windows Login PassfAiords | [jenerate Rainbow Table | Retrieve Password w\[]r\ Rainbow Table | Decryption P Retrieve Passwords [1] Live Acquisition of Current Machine i*] Scan Drive: F:\ URL Usernarme Password Browser Blacklisted Windows Use Location //accounts.google.conn N/A N/A Firefox No Ced F:\Docunnents and Settings\CedV nnoz-proKv: //www-cache, aql. f r: 31 28 N/A N/A FirefoH No Ced F:\Docunnents and Settings\CedV Figure 33 Recuperation des mots de passe du navigateur Neanmoins ceci ne semble pas fonctionner avec la version gratuite de cet outil, nous pouvons done utiliser certains outils nirsoft afin de realiser ces operations. Prenons par exemple Textraction des mots de passe de Firefox avec Toutil PasswordFox^^. Cet outil permet d'extraire les mots de passe localement ou situe sur un disque externe. [File -> Select folders] 57. Select Folders Profile Folder Path: W\ Use the following Firefox installation folder: F:tiocuments and Settings^ed^ocal Settings\Application Data^ozilla^irefbxV^rofiles\2xh0ssw //www.nirsoft.net/utils/passwordfox.html ^HPass word Fox: ^^^H illaXRrefbxXProfilesXtDoo^lia^e^a^l RIe Edit View Help ifel iS^ 'Sj Recor... Web Site User Name Password O 73 O 74 //w^ //w\ be P be O 75 //c be O 76 //s r be ♦ 77 //w\ oh ♦ 78 //rO[ sh v. m' Figure 34 Recuperation des mots de passe stockes par Firefox Sur le meme site, des outils existent pour les differents navigateurs : Internet Explorer, Google Chrome, Opera et Safari. Extraction des secrets ISA LSA pour Local Security Autority ^^est un espace de stoclyncpwdurip -r C iWtnpWNTUSER.dat UNCFudump u . 1 . Q . 6 by patrikPcqure - net [Password: password Figure 36 Recuperation du mot de passe VNC Recherche de fichiers proteges On appelle par « fichier protege », les fichiers qui necessitent un nnot de passe [exennple : fichier zip protege par un nnot de passe]. Pour rechercher ce type de fichiers sur un poste, nous pouvons par exemple utiliser Toutil « Password Recovery Toolkit Forensic ^S>. Cest un outil offrant de nombreuses fonctions dont le dechiffrement de conteneurs truecrypt, la recuperation de mots de passe, le crackage de fichiers proteges, etc. IB Pa 55 ware Password Recovery Kit ForeirKk: I File View Tools Help Figure 37 Password Recovery Toolkit Forensic Pour la recherche de fichiers proteges, on choisit Toption appropriee. Swrch for Protected Files {Ctrl+F] Scan computer for protected files. Figure 38 Recherche de fichiers proteges Scan Progress !■ I Mem scanning: G:\Cas\Docunnentsand Settings\AII Users\Appli cation Data\Microsoft\Media Player\UserMigratedStore_59R.bin Tinne elapsed: 4 sec. h h h h Estimated completion time: 19 min. 46 sec. L — ^^"^^ — J 1 ^^op j Une fois qu'un fichier protege a ete trouve, il est aussi possible de chercher le mot de passe. File Name Folder Recovery Options ^ Forensics.rar Recover Password pw. Hardware accelerati... | De nombreuses options sont disponibles afin de retrouver le mot de passe. //www.cqure.net/wp/vncpwdump/ //www.tracip.fr/password-recovery-toolkit.html ^:\CasM>ocyments annd Sett?ngs\Arr Users\Apprrcatron Data\M MzrosoftMnt^rnet E3q]1or«r\PIRATE:^p Protection: Zip 2.0 - Extraction Patsswordj Defaulrt Encryption Complexity: Brute- force - Fast PasE-word information Any information about the password helps, to reduce the recovery time. The password is: 1^] One dictionary word [i.e., "apple" ^ O More than one dictionary word [i.e., "greenapple"^ One or more dictionary words combined with letters^ numbers^ or symbols [i.e.^ "applelxyz" or "greenl2^apple"] O Non-dictionary^ but similar to an English word [i.e., " Softool" or "johnsapple"^ O Other O I know nothing about the password ■G:\Cas\DocLmeiits a"rKJ Settpr>gs\AM Llsers\Appffcatron Data\Microsoft\Inf emet EKpk>rer\PIRATE>zip Protection: Zip 2.0 - Extra ction Passwords Default Encryption Complexity: Brute- force - Fast File: PIRATE.zip Foider: G:\Cas\Documents and SettingsVAH Users\Appli cation Data\Microsoft\Internet Explored Protection: Zip 2,0 - Extraction Password, Default Encryption Complexity: Brute-force - Fast M D5 : 55071 Dl E3 FE627 D85 Bi564 B F783Z59 File-Open password: [ [no brackets] Figure 39 Crackage du mot de passe d'un fichier protege L'outil OSForensics propose aussi le meme genre d'attaque. vser Passwords | Windows Login Passwords | Generate Rainbow Table | Retrieve Password with Rainbow Tabie"^ ^^^^^^^^^^^^^^^^j Password Recovery Options Encrypted File: |GACas\Docunnents and SettingsV^II UsersV^pplication Data\Microso Select Dictionaries for Brute Force Attack [n] Common First Names and Surnames [rl Common passwords O English words -US and UK [?] Random Passwords Start Source □ SF default □ SF default OSF default OSF default Stop Password Found Password Found! Please copy the passwordr diddng OK will attempt to open the file so you can enter the password, j OK 1 [ Cancel 1 Figure 40 Cassage de mots de passe avec OSForensics Dechiffrement de containers TrueCrypt Une option interessante de « Password Recovery Toolkit Forensic « est la possibilite de lancer une attaque pour trouver les nnots de passe de containers truecrypf^. TrueCrypt est un outil permettant de creer des disques durs virtuels chiffres. //www.truecrypt.org/ Recover Hard Disk Password [Ctrl+D] Recover encryption keys or passwords to unlock BitLocker and TrueCrypt drives. TrueCrypt {Ctrl+D Decrypt a TrueCr>fpt volume. Figure 41 Crackage de containers Truecrypt Une fois rennplacement du container TrueCrypt indique, nous langons une attaque de recherche de mots de passe. Deciypting a TrueCrypt Volume En cry pted Tru eCry pt vo I u m e i m a g e f i I e: F:\DocumentE. and Settings\Ced\Mes documents\truecrypt_container Par contre la vitesse de calcul est tellement basse que sans indication du mot de passe, il est illusoire d'esperer le trouver. Checking password: Passwords checked: I Search speed: I Total passwords checked- Neanmoins une option de I'outil est de permettre de rechercher la trace de cle de chiffrement aes^^ dans la memoire vive, ce qui permet le dechiffrement rapide d'un container TrueCrypt. Attack Progress Attack: TrueCrypt Memory Analysis attack Estimated completion time: 1 min. Order State Attack 1 PasswordCs] Found 1 1 running TrueCrypt Memory An. . . 2 pending TrueCrypt Decryption ... Figure 42 Cassage d'un container TrueCrypt par analyse de la memoire vive Volume image file: secret_truecrypt Folder: C:\Documents and Settings\Ced\Mes documents\ Physical memory image file: memdump_xp.mem Folder: C:\Documents and Settings\Ced\Mes documents\Capture\ Protection: TrueCrypt Volume - Open Password^ TrueCrypt AE5 Encryption CompleKity: Instant Unprotection Unprotected file: secret_truecrypt-decrypted //fr.wikipedia.org/wiki/Advanced_Encryption_Standard C : Moo Is _hpuc>st rings secret _truecri;pt-decri;pted Strings u2.42 Copyright 1999-2011 Mark Russinouich Sysinternals - iiiiii.svsinternals.com CRIME PACK 3 CRIMEP-^IB Malgre tout il faut rester realiste, car cette methode necessite de faire une capture de la memoire Vive pendant que le container TrueCrypt est ouvert, ce qui est assez peu probable en situation reelle. Recuperation d'autres mots de passe La nnachine analysee peut contenir de nonnbreux autres logiciels tiers installes dont la recuperation d'infornnations sensibles est possible. Realiser leur liste exhaustive etant innpossible, je nne contenterais d'en citer quelques uns, je laisse le soin aux lecteurs nnotives d'effectuer leurs propres recherches : - FileZilla'^'^ [serveur FTP] : "Password Recovery for FileZilla'^^'' Remote Desktop "Remote Desktop Passview^^" Mot de passes VPN, RAS, dialup ; dioluposs^^ Pour savoir quels sont les logiciels installes sur le poste, la chose la plus sinnple a faire est de consulter le repertoire « \progrann files » et de faire une liste des logiciels qui pourraient contenir des informations interessantes a recuperer. //filezilla.fr/ //www.reactive-software.com/filezilla-password-recovery.html //fr.wikipedia.org/wiki/Remote_Desktop_Protocol //www.nirsoft.net/utils/remote_desktop_password.html //www.nirsoft.net/utils/dialupass.html Conclusion Ce document a uniquement traite de Tanalyse forensique a froid c'est-a-dire quand le systeme est eteint. Nous avons pu constater que nombreux sont les outils qui permettent d'analyser et d'aider a Tanalyse de ce type de systeme. II n'est bien sur pas exhaustif et de nombreux points tels que la recherche de malwares^^, I'expertise judiciaire, la detection d'une intrusion n'ont pas ete abordes. Ces points necessitent souvent d'autres connaissances techniques que je n'ai pas souhaite detailler dans ce document. Une autre approche interessante et qui offre de nombreuses possibilites concerne I'analyse de la memoire vive. Si le theme vous interesse, je ne peux que vous suggerer de vous initier au framework Volatility^^. Un excellent document realise par Devoteam traite de Tanalyse de la memoire vive : Livre blanc Devoteam - H[g]ckRAM, attaques contre la memoire. Si le domaine de Tanalyse forensique du point de vue expertise judiciaire vous interesse, je vous suggere aussi Texcellent blog de Zythom qui contient de tres nombreux articles interessants sur le theme : Comment devenir un expert judiciaire Demande d'informations Le rapport d'expertise Recuperation d'images et plus encore La recuperation des donnees, faites la vous-meme Un document pdf regroupant Tensemble de ces posts est d'ailleurs disponible : « Dans la peau d'un informaticien expert judiciaire Tl ». Je ne puis aussi que vous conseiller Texcellent magazine MISC qu\ traite bien souvent des problematiques liees a Tanalyse forensique. Le numero 56 y est d'ailleurs consacre. Vous trouverez aussi dans la partie bibliographie dans de nombreux liens pour aller plus loin. En cas de suggestions, critiques ou autres, vous pouvez toujours m'ecrire a //fr.wikipedia.org/wiki/Logiciel_malveillant //www.volatilesystems.conn/default/volatility Challenges Ci-joint une liste de challenges afin de tester ses connaissances dans le domaine de I'analyse forensique. Digital Forensic Challenge The Forensic Challenge Rooted Forensic Challenge DFRWS 2005 Forensics Challenge Test Innages and Forensic Challenges Forensic Contest Live-Cd forensics II existe de nombreuses distributions dediees a Tanalyse forensique. En voici quelques-unes. Helix Helix est une distribution GNU/Linux Ubuntu custonnisee integrant un ensennble d'outils destines a attaquer, evaluer la securite et la connpronnission d'une nnachine ou d'un reseau. //www.e-fense.com/products.php Caine [Computer Aided INvestigative Environment Digital Forensics] CAINE est une solution Live[CD | USB] d'interoperabilite qui regroupe, en tant que nnodules, un grand nonnbre d'outils Open Source pour faciliter, via une interface graphique honnogene, la collecte de donnees et la recherche legale de preuves nunneriques sur un ordinateur connpronnis. //www.caine-live.net/ Deft DEFT Linux est un live-CD desornnais base sur Ubuntu et integrant une panoplie d'applications open- source specialement destinees aux enquetes de crinninalite infornnatique. fitdeFt //www.deftlinux.net/ Backtrack 5 Basee sur Ubuntu depuis la version 4, son objectif est de fournir une distribution contenant I'ensennble des outils necessaires aux tests de securite d'un reseau. Elle contient aussi de nonnbreux outils consacres a I'analyse forensique. h^rk I trarU- ^ //www.bacl