Comment lire les traces/données préservées par acquisitions?

ѠOOT

Comment lire les traces/données préservées par acquisitions?

par ѠOOT »

! ATTENTION: LISEZ ATTENTIVEMENT UNE PREMIÈRE FOIS AVANT TOUTE MANIPULATION !

Cet article est la suite logique de Comment préserver les traces en cas d'incident ? ce qui signifie qu'à ce stade de la lecture, vos traces/données doivent normalement déjà être préservées sur un support externe dans des images systèmes. Pour ceux qui souhaitent simplement s'entrainer avant d'être en situation de crise, je vous ai créé une image système miniature wizluv.e01.

Image Résumé: J'ai préservé les traces en procédant aux acquisitions et cela indifféremment du type de mémoires amovibles de stockage de données - en clair - vous pouvez très bien appliquer la même procédure à des disques durs, des clés USB, des cartes SD, des baladeurs, des tablettes, des smartphones,... jusqu'aux réfrigérateurs "intelligents" (ou pas)

Imaginez un coffre-fort dans lequel se trouve une boite. À l'intérieur de cette boite : vos données, posées sur une assiette. Le coffre-fort correspond au format EWF ( les extensions .e01, .e02, ... ) quant à la boite elle correspond au format RAW ( l'extension .dd ) et enfin l'assiette correspond à votre SGF lequel contient vos données. Ah, début de grimaces dans le fond de la salle.. pas de panique :þ

Manipuler en toute sécurité les données préservées est LA priorité. Commencez par créer une machine virtuelle (VM) sous Windows (au choix, XP/Vista/7/8, évitez 8.1) comme expliqué dans l'article Comment installer Linux et Windows ou BSD... sur sa machine ?

Pour l'instant, je vais d'abord commencer par ce qui intéresse la plupart d'entre vous à savoir accéder aux données préservées : les lire, les copier, ...

Comment accéder aux traces / données ?

Votre machine virtualisée est sous Windows ?

→ Téléchargez & exécutez sur la VM l'utilitaire de PassMark Software,
OSFMount32 si vous êtes en 32 bits OU OSFMount64 en 64 bits.

Sur l'interface, cliquez "Mount New" et sélectionnez l'image à monter "Image file"
Laissez coché "Read-only" drive. Sinon si nécessaire, changez les autres options.

Je monte mon image wizluv.e01
Évidement, vous devrez montez vos propres images systèmes.
Image

L'image système est montée sur la lettre O:
Image

Contenu et propriétés du lecteur.
Image

Une fois les manipulations (ex: copier/coller) terminées.
Il vous suffira de démonter en cliquant sur "Dismount"


Analyses & traitements de l'acquisition

→ Téléchargez & dé-zippez sur la VM le logiciel gratuit FTK Imager Lite

Ci-dessous, l'interface. Menu "File", je clique sur "Add Evidence Item".
Je sélectionne mon image wizluv.e01 de test.
Image

Grâce à l'acquisition, le SGF est entièrement restitué.
Image

Aucun problème donc pour retrouver des données, même effacées !
Image

Récupérer ces fichiers, même effacés, devient très simple.
Image

Nous verrons par la suite qu'il y a bien plus à découvrir en fonction des SGF.

Vous comprenez maintenant l'énorme différence entre sauvegarde et acquisition :þ
chef

Re: Comment lire les traces/données préservées par acquisiti

par chef »

bonjour,
je vois que tu marque :
Manipuler en toute sécurité les données préservées est LA priorité. Commencez par créer une machine virtuelle (VM) sous Windows (au choix, XP/Vista/7/8, évitez 8.1)
sa ne marche que sous windows , ou on peut avoir aussi se problème sous linux ?
merci !
ѠOOT

Re: Comment lire les traces/données préservées par acquisiti

par ѠOOT »

Bonjour,

Sous Linux, c'est le même principe.
Tout dépends de ce que tu veux faire.
Je reprends l'exemple, j'exporte en RAW.

phaethon@apophis:~$ ewfexport wizluv.e01
Export to file format [raw]: ( touche entrée )
Target path and filename with extension: wizluv.dd
Start export at offset (0 >= value >= 1310720) [0]: ( touche entrée )
Amount of bytes to export (0 >= value >= 1310720) [1310720]: ( touche entrée )


Un petit coups d'œil à l'export.
phaethon@apophis:~$ file wizluv.dd
wizluv.dd: x86 boot sector, code offset 0x3c, root entries 512,
sectors 2611 (volumes <=32 MB) , Media descriptor 0xf8, sectors/FAT 8,
heads 1, hidden sectors 1, serial number 0x0, label: "DRAGIBUS", FAT


Je créer par exemple un répertoire temporaire.
phaethon@apophis:~$ mkdir /tmp/dragibus

Pour accéder aux données, il faut créer un point de montage.
Un simple mount va relier l'image système au répertoire.
nb: Si NTFS, etc.. option -t pour spécifier le type.
root@apophis:~# mount wizluv.dd /tmp/dragibus/

Les données sont désormais accessibles.
phaethon@apophis:~$ ls -l /tmp/dragibus/
phaethon@apophis:~$ file /tmp/dragibus/astero.gif

/tmp/dragibus/astero.gif: GIF image data, version 89a, 699 x 652

Une fois terminé, ne pas oublier le démontage.
root@apophis:~# umount /tmp/dragibus/
chef

Re: Comment lire les traces/données préservées par acquisiti

par chef »

bonjour,
bon retour effectivement très bien quand on comprend loool.
merci pour tous tes articles très intéressent, j'y bosse et je test de mon coté :)
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Tech, Tips & Tricks »