! ATTENTION: LISEZ ATTENTIVEMENT UNE PREMIÈRE FOIS AVANT TOUTE MANIPULATION !
Infractions ? délits informatiques ? malveillances...
Vous avez de sérieux soupçons ? Vous êtes victime ?
Je suis un particulier ou une petite entreprise, je n'ai pas ou peu de moyens, pas de responsable sécurité, ni de personnel qualifié, pas de connaissances en informatique et je ne souhaite pas recourir à un enquêteur spécialisé en vue d'une procédure judiciaire. Comment conserver des traces exploitables en vue, par exemple, d'investigations ultérieures ? Comment réagir ?
1. Ne cédez pas à la panique, ne vous affolez pas.
2. Ne touchez à rien, n'éteignez pas l'unité centrale.
3. Déconnectez des réseaux tous les terminaux suspects.
4. Ne connectez pas de supports de stockage "à chaud".
→ PRÉSERVATIONS DES TRACES via acquisitions logicielles.
En vulgarisant, il va s'agir de FIGER (instantanés) & de CAPTURER (états) dans des IMAGES systèmes.
♦ Mémoire vive : volatile
L'outil le plus simple au monde se nomme DumpIt, écrit et distribué gratuitement par Matthieu Suiche, ce programme très léger permet d'acquérir une bonne partie de la mémoire vive simplement en appuyant sur la touche Y (YES) pour répondre à la question "Voulez vous continuer ?" La mémoire sera alors capturée dans le répertoire où est situé DumpIt et stockée dans un fichier brute (RAW)
Exécutez DumpIt dans C: et appuyez sur "Y" puis patientez jusqu'à obtenir le mot "Success" à l'écran.
Le RAW doit avoir un poids légèrement supérieur à ce qui est indiqué par DumpIt "Address space size:"
Exemple d'une exploration standard de l'antémémoire via Volatility.
[!] Soyez extrêmement vigilants à l'endroit où vous stockerez plus tard ces fichiers. Ne laissez jamais trainer vos acquisitions : ces captures renferment une quantité inimaginable de renseignements, voir de secrets.
♦ Mémoires de masse : non volatiles (ex: disques durs, etc...)
Après avoir vérifié que la mémoire a bien été préservée, la machine est arrêtée. Il est fortement recommandé de procéder à l'acquisition depuis un autre système d'exploitation. Téléchargez une distribution Linux, gravez l'ISO sur un CD/DVD. Au choix, Debian ou Ubuntu ou ses dérivées, Xubuntu,... ce n'est pas le choix qui manque.
☞Exemple: Acquérir les données d'une clé USB inconnue.
Au préalable, vous devrez configurer la connexion à Internet.
En fonction de vos niveaux respectifs, je vous propose deux méthodes.
⚠ Les commandes devront être exécutées en super-utilisateur ( root )
⚠ Sous Ubuntu, ajoutez simplement sudo devant ces commandes.
☛ DÉBUTANTS - Interface graphique (GUI ( consomme des ressources ; acquisition plus lente. )
D'abord, resynchroniser l'index.
commande: apt-get update
Puis, installer l'outil adéquate.
commande: apt-get install guymager
Exécutez l'outil.
commande: guymager
Vous obtiendrez alors la liste des médias connectés.
Sélectionner le média, le clique droit affiche un menu contextuel:
→ Infos
→ Cloner
→ Acquérir
Je clique sur "Acquérir image" puis je paramètre.
La "Destination" est l'endroit où vous souhaitez copier vos données.
Assurez-vous qu'il y a suffisamment d'espace de libre pour vos copies.
Patientez... une barre indique la progression.
Le voyant au vert et 100% indique la fin de la copie.
☛ AGUERRIS - absence d'interface, plus rapide et possibilités de paramétrages avancés.
Je liste les types de partitions pour retrouver la clé USB.
commande: fdisk -l
J'apprends que la clé fait 4083 Mo (~4Go) et le SGF est NTFS.
Je prends l'empreinte MD5 de la clé USB.
commande: md5sum /dev/sdg1
J'installe les outils sous licence LGPLv3
commande : apt-get install ewf-tools
Je débute l'acquisition du volume.
commande: ewfacquire /dev/sdg1
Vous aurez ensuite à répondre à plusieurs questions. La première "Image path and filename without extention" concerne la destination, c'est à dire l'endroit où vous souhaitez copier vos données. Si vous avez un disque dur externe, il devrait en principe être automatiquement monté dès que vous allez le brancher. Au cas où vous n'y auriez pas pensé plus tôt, assurez-vous que vous avez de l'espace libre disponible...
Laissez vous guider par le questionnaire.
Un doute à une question ? Laissez par défaut.
... Patientez car ça peut être très long ...
Il est temps de vérifier que les données copiées sont identiques.
Contrôlez que le MD5 est le même qu'avec celui obtenu avec md5sum.
Je peux vérifier ces informations avec la commande ewfinfo.
La clé USB de 4Go est compressée à ~2.5Go dans des fichiers.
Ces formats de fichiers ont été spécialement conçus à cet effet.
La préservation est un socle sur lequel repose toutes analyses et expertises.
J'ai choisi l'exemple d'une petite clé USB parce que c'est ce qu'il y a de + simple.
Malgré tous les efforts pour simplifier, vulgariser, ... ces traitements sont délicats.
Cette discipline est assez complexe, ce savoir-faire est un art : c'est tout un métier.
⚒ Lire la suite : Comment lire les traces/données préservées par acquisitions?
Ce n'est pas en situation de crise qu'il faut apprendre à réagir : il faut s'y préparer.
Comment préserver les traces / données en cas d'incident ?
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 3 Réponses
- 117 Vues
-
Dernier message par Malekal_morte
-
-
🛡️ Refroidir -Nettoyer son PC : Les outils, comment faire -- Pâte Thermique : Choix, comment appliquer ?
par Parisien_entraide » » dans Papiers / Articles - 0 Réponses
- 53 Vues
-
Dernier message par Parisien_entraide
-
-
-
Nouvelle version OUTLOOK - ATTENTION au transfert de données à Microsoft
par Parisien_entraide » » dans Papiers / Articles - 7 Réponses
- 1274 Vues
-
Dernier message par Parisien_entraide
-
-
- 1 Réponses
- 332 Vues
-
Dernier message par Parisien_entraide
-
-
Sauvegarder les données de mon PC en Windows 10
par Hermès » » dans Windows : Résoudre les problèmes - 1 Réponses
- 95 Vues
-
Dernier message par doudou62
-