Professional Documents
Culture Documents
2012
Table des illustrations ............................................................................................................................ 3 Rsum .................................................................................................................................................. 4 Introduction ........................................................................................................................................... 4 Dans quels cas utiliser lanalyse forensique ?......................................................................................... 5 Les diffrentes approches ...................................................................................................................... 5 La mthodologie .................................................................................................................................... 5 Les outils ................................................................................................................................................ 6 Ltude ................................................................................................................................................... 7 1) a) b) c) 2) d) e) f) g) h) i) j) Lacquisition des donnes .......................................................................................................... 7 La copie du disque .................................................................................................................. 7 Le montage de limage ........................................................................................................... 9 Convertir une image en machine virtuelle............................................................................ 13 Lanalyse du disque .................................................................................................................. 13 Lidentification du systme................................................................................................... 13 La rcupration des fichiers effacs ..................................................................................... 14 Lanalyse de la base de registre ............................................................................................ 15 Analyses des fichiers logs / vnements .............................................................................. 19 Lanalyse des traces de connexion Internet .......................................................................... 20 La recherche de fichiers ........................................................................................................ 21 La rcupration dinformations sensibles ............................................................................. 23
Rsum
De plus en plus utilise dans le cadre denqute ou de lexpertise lgale, lanalyse forensique qui consiste effectuer des recherches sur une machine, ncessite mthodologie et outils afin dtre mene bien. Au cours de ce document, nous verrons la mthodologie et les outils utiliss afin deffectuer et danalyser la copie dun ordinateur sous Windows.
Introduction
Le terme anglais Forensics (lien ) dsigne les recherches effectues sur une machine suite sa compromission par exemple, afin d'en dterminer les causes et de juger de l'tendue des dommages.
1
La dfinition de Wikipdia : On dsigne par informatique lgale ou investigation numrique lgale l'application de techniques et de protocoles d'investigation numriques respectant les procdures lgales et destine apporter des preuves numriques la demande d'une institution de type judiciaire par rquisition, ordonnance ou jugement. Ce concept, construit sur le modle plus ancien de mdecine lgale, correspond l'anglais computer forensics .
Une dfinition plus formelle pourrait tre : l'action d'acqurir, de recouvrer, de prserver, et de prsenter des informations traites par le systme d'information et stockes sur des supports informatiques.
Ces investigations suivent gnralement 3 grandes tapes : - L'acquisition de donnes : Cette tape consiste rcuprer les donnes d'une machine dans le but de les analyser. Il faut videmment viter toute modification du systme et des informations elles-mmes. L'approche sera diffrente suivant que le systme est en cours d'excution ou arrt.
- Le recouvrement de donnes : Un fichier effac sur un disque dur l'est rarement de faon
scurise. Les informations concernant ce fichier y restent souvent physiquement. Il est donc gnralement possible de recouvrer ces fichiers partir de l'image d'un disque dur. On emploiera par exemple la technique de "file carving" ( lien ) qui consiste faire une recherche sur l'image disque par rapport au type des fichiers.
- L'analyse de donnes : Une fois les donnes rcupres, il faut les analyser ; la facilit de
l'analyse est troitement lie aux comptences du pirate. Certains ne tenteront pas de se dissimuler, laissant des traces voyantes un peu partout sur le systme (dans les journaux systmes, les fichiers de traces applicatives, etc. ). D'autres auront pris soin d'effacer un maximum d'lments pouvant trahir leur prsence ou leur identit jusqu' ne rien crire sur le disque (intrusion par Meterpreter par exemple - lien ).
11
http://www.secuobs.com/news/02082007-forensic_lexfo.shtml
Rcupration de fichiers effacs Analyse des logs Analyse des fichiers infects Analyse de la mmoire Extraction des informations pertinentes Etc.
Dans le cas dune plainte, il faudra nanmoins veiller assurer lintgrit des donnes, celles-ci ayant vocation tre prsentes devant la justice.
La mthodologie
Lanalyse forensique exige de la mthodologie. Il va sagir de collecter et de prserver les preuves. Il est donc recommand de suivre un guide des bonnes pratiques afin de pas altrer/modifier les donnes analyses. Un point essentiel de lanalyse forensique est la documentation et lhorodatage des actions effectues. Voici un exemple de mthodologie danalyse forensique sous Windows :
1. Colliger a. b. c. d.
2
(collecte) Dconnecter le poste du rseau Sauvegarde / analyse de la mmoire vive Effectuer un clone du disque dur Effectuer un calcul de lempreinte de limage afin de sassurer de lintgrit des
http://www.lestutosdenico.com/outils/analyse-forensique-completement-sick
donnes (calcul hash SHA-13) 2. Examiner a. Rcuprer les fichiers effacs b. Analyser la base de registre c. Analyser les logs / journaux dvnements d. Analyser les traces de connexion Internet e. Extraire les comptes utilisateurs de la machine f. Extraire les informations pertinentes avec lvnement 3. Analyser a. Interprtation des informations obtenues (source de lincident) 4. Signaler a. Dpt dune plainte
Pour plus dinformations sur la mthodologie, vous pouvez consulter le document suivant : Analyse forensique Rgles et mthodes suivre.
Les outils
Au cours de ce document, je citerais de nombreux outils et les liens o nous pouvons les tlcharger. Parmi ceux que jai le plus utiliss, je peux citer : Access FTK Imager4 OSForensics5 Forensic Toolkit6
Il existe bien sr des outils beaucoup plus puissants tels quEncase7, nanmoins ce type doutil est bien souvent payant et de par le prix des licences, celles-ci se trouvent difficilement accessibles aux particuliers. Dans ce document, laccent sera donc mis sur les outils gratuits ou open-source.
3 4
Ltude
Concernant le poste analyser, jai hsit mettre disposition un lien vers une image. Nanmoins ceci ne me semblait pas ni utile, ni trs pertinent (taille de limage, donnes personnelles). Le plus simple que je puisse conseiller est linstallation dune machine virtuelle avec un logiciel du type Vmware8, Virtual Box 9ou encore Virtual PC10 puis dutiliser ce poste un certain temps afin daccumuler quelques donnes intressantes rcuprer (installation dun navigateur, logiciels de messagerie/lecteur pdf, enregistrement des mots de passe, navigation web, cration de fichiers protgs par mot de passe, etc.). Puis de crer une copie de ce disque afin dy effectuer les manipulations dcrites dans ce document. Une fois votre poste install, configur et utilis un certain temps, nous pourrons passer la premire tape savoir lacquisition des donnes.
a) La copie du disque
Lacquisition cest lorsque vous faites une copie bit par bit des donnes stockes sur le matriel saisi (avec la commande DD o dautres outils) Concernant la copie dun disque, de nombreux outils sont disponibles dont : Helix (tutorial ici11) Dd (http://www.ossir.org/resist/supports/cr/20070925/Roukine-Forensiques.pdf) Encase12
Un excellent article de Zythom sur ce thme est disponible ici : Rcupration des donnes, faites la vous-mme. Dautres outils sont aussi dcrits sur cette page. Voyons la dmarche avec FTK Imager, qui lui permet aussi la copie dun disque dur.
On slectionne ensuite la partition ou le disque dur que lon souhaite sauvegarder (ici un disque sous Vmware) et la destination de notre sauvegarde.
Aprs la copie du disque, un hash13 de limage est ralis afin de pouvoir vrifier lintgrit de notre image.
13
http://fr.wikipedia.org/wiki/Fonction_de_hachage
Par souci de scurit, ne pas hsiter faire une copie de sauvegarde du fichier image.
b) Le montage de limage
Une fois la copie ralise, il va falloir monter celle-ci sur un autre poste afin de pouvoir lanalyser. Pour se faire, il existe les outils suivants : Lmdisk14 (muler un ou plusieurs lecteurs de disques) FTK imager Encase
Par exemple, dans le cadre dun travail pratique dans mon cursus professionnel, nous avions notre disposition un fichier zip reprsentant partiellement un disque dur.
14
http://www.ltr-data.se/opencode.html/
Pour monter ce fichier zip, nous allons utiliser loutil Access FTK Imager15.
15
http://accessdata.com/products/computer-forensics/ftk
Noublions pas de cocher le montage en lecture seule afin de sauvegarder lintgrit de notre fichier image.
Pour plus dinformations, vous pouvez consulter le lien suivant : How to Create a Virtual Machine from a Raw Hard Drive Image .
2) Lanalyse du disque
Il va sagir maintenant danalyser le disque afin dy extraire des informations pertinentes : identification du systme, rcupration des fichiers effacs, analyse des logs, rcupration dinformations sensibles, etc.
d) Lidentification du systme
La premire tape de lanalyse est de dterminer le systme dexploitation utilis, pour cela nous avons plusieurs moyens notre disposition17. Sous les systmes Windows 95/98/Me, il existe la prsence dun fichier \MSDOS.SYS. Il suffit douvrir ce fichier et dexaminer la ligne [Options]WinVer parameter. Pour les systmes NT/Vista/XP/Seven, il y a dj le nom du rpertoire : c:\Winnt pour les NT, C:\Wndows pour les XP. Il est possible de retrouver ces informations dans la base de registre la ruche Microsoft\Windows NT\CurrentVersion key (ProductName, CSDVersion, ProductId, BuildLab, et sur Vista, BuildLabEx).
16 17
http://liveview.sourceforge.net/ http://www.forensicswiki.org/wiki/Determining_OS_version_from_an_evidence_image
La consultation du fichier setupapi.log dans le rpertoire Windows permet aussi dobtenir le mme genre dinformations.
Sous Linux, on peut consulter les fichiers /etc/issue et /etc/issue.net pour connaitre la version du systme. Le document suivant donne aussi dautres pistes : How To Know Which Linux Distribution You Are Using .
On peut aussi utiliser Osforensics qui permet de raliser facilement cette opration.
Un disque dur ne dispose pas de fonction deffacement : une fois une donne crite, la seule faon de leffacer est donc dcrire dautres donnes par-dessus les donnes existantes. Il existe de
nombreux outils permettant un effacement scuris des donnes 18. Citons le cas par exemple de Ccleaner (logiciel gratuit destin nettoyer un ordinateur) qui propose de telles options :
Pour plus dinformations sur leffacement des disques durs, le document suivant est accessible en ligne : Effacement scuris des disques durs.
Pour analyser une base de registre offline, il existe de nombreux outils gratuits : Autoruns19 de sysinternals RegRipper20 Rip RipXP RegSlack Mitec Windows Registry21
Parmi les informations rcupres, nous avons tout ce qui concerne la version de Windows :
18 19
Nous pouvons aussi obtenir tous les fichiers qui ont t excuts sur la machine22.
Volumes monts
Autre information intressante : les points de montage. Utile pour savoir si un disque dur chiffr (avec TrueCrypt 23par exemple) a t mont :
Une autre information intressante rcuprer concerne les documents rcemment ouverts 24.
22 23
http://www.nirsoft.net/utils/muicache_view.html http://www.truecrypt.org/
24
http://forensicartifacts.com/2011/02/recentdocs/
Paramtres du proxy
Rcuprer des informations sur le proxy utilis peut aussi savrer une dmarche intressante (prsence parfois dun compte utilisateur)
Il existe encore de nombreuses informations intressantes explorer, pour plus dinformations, vous pouvez consulter ce document.
Avec ce dernier outil, on peut analyser de manire simple et dtaille un fichier log.
25 26
http://technet.microsoft.com/fr-fr/scriptcenter/dd919274 http://windowsir.blogspot.fr/2009/03/eventlog-parsing.html
27
http://omni-a.blogspot.fr/2011/10/rtca-v01-outil-daide-aux-analyses.html
Pour avoir plus dinformations sur lemplacement des fichiers logs, il est possible de consulter ce document : Liste des fichiers logs.
Ci-dessous une analyse de la navigation Internet avec loutil NetAnalysis ainsi que Web Historian. En gnral ces outils analysent le fichier index.dat prsents dans document and settings\#user#\Cookies
28 29
Pour ceux que le sujet intresse, voici une liste dautres liens : http://www.symantec.com/connect/articles/web-browser-forensics-part-1 http://www.forensicswiki.org/wiki/Internet_Explorer_History_File_Format
i) La recherche de fichiers
Il peut tre parfois fastidieux deffectuer des recherches de fichiers sur un disque dur, de par la multitude des fichiers existants. Heureusement il existe des outils pour nous aider dans cette tche. Parmi eux, nous pouvons citer : Access Forensic Toolkit32 OSForensics Scalpel33 Sleuth Kit
Par exemple avec loutil Forensic Toolkit, nous pouvons facilement crer un index des fichiers, ce qui permet davoir un tri selon le type de fichier et leur extension.
32 33
http://accessdata.com/products/computer-forensics/ftk http://www.digitalforensicssolutions.com/Scalpel/
Loutil OSForensics permet lui aussi de crer un index des fichiers sur le disque analys afin de simplifier les recherches.
Ces outils permettent de faciliter les recherches et les investigations ventuelles (rcupration des emails, images, fichiers excutables, etc.)
Il existe de nombreux outils tels que pwdump34 pour extraire les comptes utilisateurs dun systme Windows. Le souci est que ces outils ne fonctionnent que sur les systmes on-line. Dans notre cas, nous allons devoir rcuprer la cl de chiffrement systme stocke localement. Pour cela, nous allons loutil HashDumper 35de Cain36, outil qui permet deffectuer des attaques rseau et de cracker des mots de passe. Cette cl se trouve dans la ruche system du rpertoire systme de Windows. On ouvre Cain et on utilise lutilitaire syskey decoder .
Ne souhaitant pas rcuprer la cl stocke localement sur notre systme, on indique lemplacement du fichier system de notre image prsente dans \Windows\System32\config :
Cette cl de chiffrement rcupre, nous allons pouvoir extraire les comptes utilisateurs de la SAM. On se rend dans longlet cracking et on clique sur la case + .
34 35
On indique ensuite lemplacement de la base SAM de notre image (\Windows\System32\config ) et la cl de chiffrement que nous avons rcupr prcdemment.
Aprs avoir cliqu sur le bouton next , on obtient alors lensemble des comptes utilisateurs du systme analys.
Le compte administrateur a un mot de passe vide, mais si ce nest pas le cas, Cain propose des mthodes pour casser le mot de passe. Un simple clic droit sur le compte permet de choisir sa mthode.
Nanmoins ceci ne semble pas fonctionner avec la version gratuite de cet outil, nous pouvons donc utiliser certains outils nirsoft afin de raliser ces oprations. Prenons par exemple lextraction des mots de passe de Firefox avec loutil PasswordFox37. Cet outil permet dextraire les mots de passe localement ou situ sur un disque externe. (File -> Select folders)
37
http://www.nirsoft.net/utils/passwordfox.html
Sur le mme site, des outils existent pour les diffrents navigateurs : Internet Explorer, Google Chrome, Opra et Safari.
38 39
http://www.windowsnetworking.com/kbase/WindowsTips/WindowsNT/RegistryTips/Miscellaneous/LSASecrets.html
http://www.nirsoft.net/utils/lsa_secrets_view.html
Une fois quun fichier protg a t trouv, il est aussi possible de chercher le mot de passe.
http://www.cqure.net/wp/vncpwdump/ http://www.tracip.fr/password-recovery-toolkit.html
42
http://www.truecrypt.org/
Une fois lemplacement du container TrueCrypt indiqu, nous lanons une attaque de recherche de mots de passe.
Par contre la vitesse de calcul est tellement basse que sans indication du mot de passe, il est illusoire desprer le trouver.
Nanmoins une option de loutil est de permettre de rechercher la trace de cl de chiffrement aes43 dans la mmoire vive, ce qui permet le dchiffrement rapide dun container TrueCrypt.
43
http://fr.wikipedia.org/wiki/Advanced_Encryption_Standard
Malgr tout il faut rester raliste, car cette mthode ncessite de faire une capture de la mmoire vive pendant que le container TrueCrypt est ouvert, ce qui est assez peu probable en situation relle.
Pour savoir quels sont les logiciels installs sur le poste, la chose la plus simple faire est de consulter le rpertoire \program files et de faire une liste des logiciels qui pourraient contenir des informations intressantes rcuprer.
44 45
Conclusion
Ce document a uniquement trait de lanalyse forensique froid c'est--dire quand le systme est teint. Nous avons pu constater que nombreux sont les outils qui permettent danalyser et daider lanalyse de ce type de systme. Il nest bien sr pas exhaustif et de nombreux points tels que la recherche de malwares49, lexpertise judiciaire, la dtection dune intrusion nont pas t abords. Ces points ncessitent souvent dautres connaissances techniques que je nai pas souhait dtailler dans ce document.
Une autre approche intressante et qui offre de nombreuses possibilits concerne lanalyse de la mmoire vive. Si le thme vous intresse, je ne peux que vous suggrer de vous initier au framework Volatility50. Un excellent document ralis par Devoteam traite de lanalyse de la mmoire vive : Livre blanc Devoteam H@ckRAM, attaques contre la mmoire.
Si le domaine de lanalyse forensique du point de vue expertise judiciaire vous intresse, je vous suggre aussi lexcellent blog de Zythom qui contient de trs nombreux articles intressants sur le thme : Comment devenir un expert judiciaire Demande dinformations Le rapport dexpertise Rcupration dimages et plus encore La rcupration des donnes, faites la vous-mme
Un document pdf regroupant lensemble de ces posts est dailleurs disponible : Dans la peau dun informaticien expert judiciaire T1 .
Je ne puis aussi que vous conseiller lexcellent magazine MISC qui traite bien souvent des problmatiques lies lanalyse forensique. Le numro 56 y est dailleurs consacr.
Vous trouverez aussi dans la partie bibliographie dans de nombreux liens pour aller plus loin.
49 50
http://fr.wikipedia.org/wiki/Logiciel_malveillant https://www.volatilesystems.com/default/volatility
Challenges
Ci-joint une liste de challenges afin de tester ses connaissances dans le domaine de lanalyse forensique.
Digital Forensic Challenge The Forensic Challenge Rooted Forensic Challenge DFRWS 2005 Forensics Challenge Test Images and Forensic Challenges Forensic Contest
Live-Cd forensics
Il existe de nombreuses distributions ddies lanalyse forensique. En voici quelques-unes.
Helix
Helix est une distribution GNU/Linux Ubuntu customise intgrant un ensemble d'outils destins attaquer, valuer la scurit et la compromission d'une machine ou d'un rseau.
http://www.e-fense.com/products.php
http://www.caine-live.net/
Deft
DEFT Linux est un live-CD dsormais bas sur Ubuntu et intgrant une panoplie d'applications opensource spcialement destines aux enqutes de criminalit informatique.
http://www.deftlinux.net/
Backtrack 5
Base sur Ubuntu depuis la version 4, son objectif est de fournir une distribution contenant lensemble des outils ncessaires aux tests de scurit dun rseau. Elle contient aussi de nombreux outils consacrs lanalyse forensique.
http://www.backtrack-linux.org/
Bibliographie
Criminalits numriques http://blog.crimenumerique.fr