Forensic

Forensics
Recherche
dinformations froid

Acquisition de preuves et analyse froid dun systme sous Windows

2012
Cdric BERTRAND bertrandcedriccc@hotmail.fr
http://lepouvoirclapratique.blogspot.fr/
08/04/2012

Table des illustrations ............................................................................................................................ 3
Rsum .................................................................................................................................................. 4
Introduction ........................................................................................................................................... 4
Dans quels cas utiliser lanalyse forensique ? ......................................................................................... 5
Les diffrentes approches ...................................................................................................................... 5
La mthodologie .................................................................................................................................... 5
Les outils ................................................................................................................................................ 6
Ltude ................................................................................................................................................... 7
1) Lacquisition des donnes .......................................................................................................... 7
a) La copie du disque .................................................................................................................. 7
b) Le montage de limage ........................................................................................................... 9
c) Convertir une image en machine virtuelle............................................................................ 13
2) Lanalyse du disque .................................................................................................................. 13
d) Lidentification du systme ................................................................................................... 13
e) La rcupration des fichiers effacs ..................................................................................... 14
f) Lanalyse de la base de registre ............................................................................................ 15
g) Analyses des fichiers logs / vnements .............................................................................. 19
h) Lanalyse des traces de connexion Internet .......................................................................... 20
i) La recherche de fichiers ........................................................................................................ 21
j) La rcupration dinformations sensibles ............................................................................. 23
Conclusion ............................................................................................................................................ 32
Challenges ............................................................................................................................................ 33
Live-Cd forensics .................................................................................................................................. 34
Bibliographie ........................................................................................................................................ 36






Table des illustrations
Figure 1 Cration d'une image disque avec FTK imager ......................................................................... 7
Figure 2 Copie du disque ralise ........................................................................................................... 9
Figure 3 Fichier image sous forme de fichier zip .................................................................................. 10
Figure 4 Montage de l'image avec FTK imager ..................................................................................... 10
Figure 5 Image accessible par gestionnaire de fichiers ........................................................................ 11
Figure 6 Monter une image avec OSForensics ..................................................................................... 11
Figure 7 Image monte et accessible via un explorateur de fichiers .................................................... 12
Figure 8 Rcupration des fichiers effacs ........................................................................................... 14
Figure 9 Effacement scuris avec Ccleaner ........................................................................................ 15
Figure 10 Analyse de la base de registre avec RegRipper ..................................................................... 15
Figure 11 Informations extraites sur la version de Windows utilise ................................................... 16
Figure 12 Fichiers excuts sur la machine .......................................................................................... 16
Figure 13 Volumes monts sur le poste ............................................................................................... 16
Figure 14 Documents rcemment ouverts ........................................................................................... 17
Figure 15 Fichiers pdf rcemment ouverts ........................................................................................... 17
Figure 16 Rcupration des documents rcemment ouverts............................................................... 17
Figure 17 Programmes qui dmarrent avec Windows ......................................................................... 18
Figure 18 Rcupration du nom de la machine .................................................................................... 18
Figure 19 Rcupration des paramtres du proxy ............................................................................... 18
Figure 20 URL tapes dans Internet Explorer ....................................................................................... 19
Figure 21 Analyse de fichier log avec l'outil rtCA .................................................................................. 20
Figure 22 Analyse web avec NetAnalysis .............................................................................................. 21
Figure 23 Analyse web avec Web Historian.......................................................................................... 21
Figure 24 Cration d'un index avec Forensic Toolkit ............................................................................ 22
Figure 25 Cration d'un index avec OSForensics .................................................................................. 23
Figure 26 Syskey Decoder..................................................................................................................... 24
Figure 27 Emplacement de la ruche system ......................................................................................... 24
Figure 28 Extraction de la cl de chiffrement ....................................................................................... 24
Figure 29 Extraction des comptes utilisateurs de la machine............................................................... 25
Figure 30 Comptes utilisateurs extraits ................................................................................................ 25
Figure 31 Cassage des mots de passe ................................................................................................... 25
Figure 32 Rcupration des hash avec OSForensics ............................................................................. 26
Figure 33 Rcupration des mots de passe du navigateur ................................................................... 26
Figure 34 Rcupration des mots de passe stocks par Firefox ........................................................... 27
Figure 35 Extraction des secrets LSA .................................................................................................... 27
Figure 36 Rcupration du mot de passe VNC ..................................................................................... 28
Figure 37 Password Recovery Toolkit Forensic..................................................................................... 28
Figure 38 Crackage du mot de passe d'un fichier protg.................................................................... 29
Figure 39 Cassage de mots de passe avec OSForensics ........................................................................ 29
Figure 40 Crackage de containers Truecrypt ........................................................................................ 30
Figure 41 Cassage d'un container TrueCrypt par analyse de la mmoire vive ..................................... 30

Rsum
De plus en plus utilise dans le cadre denqute ou de lexpertise lgale, lanalyse forensique qui
consiste effectuer des recherches sur une machine, ncessite mthodologie et outils afin dtre
mene bien. Au cours de ce document, nous verrons la mthodologie et les outils utiliss afin
deffectuer et danalyser la copie dun ordinateur sous Windows.
Introduction
Le terme anglais Forensics (lien ) dsigne les recherches effectues sur une machine suite sa
compromission par exemple, afin d'en dterminer les causes et de juger de l'tendue des dommages.
1

La dfinition de Wikipdia : On dsigne par informatique lgale ou investigation numrique lgale
l'application de techniques et de protocoles d'investigation numriques respectant les procdures
lgales et destine apporter des preuves numriques la demande d'une institution de type
judiciaire par rquisition, ordonnance ou jugement. Ce concept, construit sur le modle plus ancien de
mdecine lgale, correspond l'anglais computer forensics .

Une dfinition plus formelle pourrait tre : l'action d'acqurir, de recouvrer, de prserver, et de
prsenter des informations traites par le systme d'information et stockes sur des supports
informatiques.


Ces investigations suivent gnralement 3 grandes tapes :
- L'acquisition de donnes : Cette tape consiste rcuprer les donnes d'une machine dans le
but de les analyser. Il faut videmment viter toute modification du systme et des informations
elles-mmes. L'approche sera diffrente suivant que le systme est en cours d'excution ou arrt.

- Le recouvrement de donnes : Un fichier effac sur un disque dur l'est rarement de faon
scurise. Les informations concernant ce fichier y restent souvent physiquement. Il est donc
gnralement possible de recouvrer ces fichiers partir de l'image d'un disque dur. On emploiera par
exemple la technique de "file carving" ( lien ) qui consiste faire une recherche sur l'image disque
par rapport au type des fichiers.

- L'analyse de donnes : Une fois les donnes rcupres, il faut les analyser ; la facilit de
l'analyse est troitement lie aux comptences du pirate. Certains ne tenteront pas de se dissimuler,
laissant des traces voyantes un peu partout sur le systme (dans les journaux systmes, les fichiers
de traces applicatives, etc. ). D'autres auront pris soin d'effacer un maximum d'lments pouvant
trahir leur prsence ou leur identit jusqu' ne rien crire sur le disque (intrusion par Meterpreter par
exemple - lien ).

11
http://www.secuobs.com/news/02082007-forensic_lexfo.shtml
Dans quels cas utiliser lanalyse forensique ?
Lors dun incident de scurit au sein dun SI, il est ncessaire de comprendre le mode opratoire de
lattaquant afin de retracer ses actions, mais galement de pouvoir collecter assez de preuves pour
pouvoir porter plainte (pdo-criminalit, intrusion, etc.). Lanalyse forensique peut tre par exemple
utilise dans le cas de :
- Analyse de malwares
- Rcupration de preuves en vue dune plainte (intrusion, pdocriminalit, procs, etc.)
- Test dintrusion
- Rcupration de donnes
- Etc.
Pour cela, plusieurs techniques sont utilises
2
:
Rcupration de fichiers effacs
Analyse des logs
Analyse des fichiers infects
Analyse de la mmoire
Extraction des informations pertinentes
Etc.
Dans le cas dune plainte, il faudra nanmoins veiller assurer lintgrit des donnes, celles-ci ayant
vocation tre prsentes devant la justice.
Les diffrentes approches
Trois types de collecte peuvent alors tre dtaills, savoir le "dead" forensics (systme teint -
analyse de disque), le "live" forensics (systme allum - analyse de la mmoire vive) et le "mixed"
forensics (analyse de la mmoire vive & analyse du disque). Dans le cas prsent, nous limiterons nos
investigations lapproche froid (dead forensics).
La mthodologie
Lanalyse forensique exige de la mthodologie. Il va sagir de collecter et de prserver les preuves. Il
est donc recommand de suivre un guide des bonnes pratiques afin de pas altrer/modifier les
donnes analyses. Un point essentiel de lanalyse forensique est la documentation et lhorodatage
des actions effectues.
Voici un exemple de mthodologie danalyse forensique sous Windows :
1. Colliger (collecte)
a. Dconnecter le poste du rseau
b. Sauvegarde / analyse de la mmoire vive
c. Effectuer un clone du disque dur
d. Effectuer un calcul de lempreinte de limage afin de sassurer de lintgrit des

2
http://www.lestutosdenico.com/outils/analyse-forensique-completement-sick
donnes (calcul hash SHA-1
3
)

2. Examiner
a. Rcuprer les fichiers effacs
b. Analyser la base de registre
c. Analyser les logs / journaux dvnements
d. Analyser les traces de connexion Internet
e. Extraire les comptes utilisateurs de la machine
f. Extraire les informations pertinentes avec lvnement

3. Analyser
a. Interprtation des informations obtenues (source de lincident)

4. Signaler
a. Dpt dune plainte

Pour plus dinformations sur la mthodologie, vous pouvez consulter le document suivant : Analyse
forensique Rgles et mthodes suivre.
Les outils
Au cours de ce document, je citerais de nombreux outils et les liens o nous pouvons les tlcharger.
Parmi ceux que jai le plus utiliss, je peux citer :
- Access FTK Imager
4

- OSForensics
5

- Forensic Toolkit
6

Il existe bien sr des outils beaucoup plus puissants tels quEncase
7
, nanmoins ce type doutil est
bien souvent payant et de par le prix des licences, celles-ci se trouvent difficilement accessibles aux
particuliers. Dans ce document, laccent sera donc mis sur les outils gratuits ou open-source.






3
http://fr.wikipedia.org/wiki/Fonction_de_hachage
4
http://accessdata.com/
5
http://www.osforensics.com/
6
http://accessdata.com/
7
http://www.guidancesoftware.com/forensic.htm
Ltude
Concernant le poste analyser, jai hsit mettre disposition un lien vers une image. Nanmoins
ceci ne me semblait pas ni utile, ni trs pertinent (taille de limage, donnes personnelles). Le plus
simple que je puisse conseiller est linstallation dune machine virtuelle avec un logiciel du type
Vmware
8
, Virtual Box
9
ou encore Virtual PC
10
puis dutiliser ce poste un certain temps afin
daccumuler quelques donnes intressantes rcuprer (installation dun navigateur, logiciels de
messagerie/lecteur pdf, enregistrement des mots de passe, navigation web, cration de fichiers
protgs par mot de passe, etc.). Puis de crer une copie de ce disque afin dy effectuer les
manipulations dcrites dans ce document.
Une fois votre poste install, configur et utilis un certain temps, nous pourrons passer la
premire tape savoir lacquisition des donnes.

1) Lacquisition des donnes
Cette tape consiste rcuprer les donnes d'une machine dans le but de les analyser. Il faut
videmment viter toute modification du systme et des informations elles-mmes (analyse du
systme en lecture seule).
a) La copie du disque
Lacquisition cest lorsque vous faites une copie bit par bit des donnes stockes sur le matriel saisi
(avec la commande DD o dautres outils) Concernant la copie dun disque, de nombreux outils
sont disponibles dont :
- Helix (tutorial ici
11
)
- Dd (http://www.ossir.org/resist/supports/cr/20070925/Roukine-Forensiques.pdf)
- Encase
12

Un excellent article de Zythom sur ce thme est disponible ici : Rcupration des donnes, faites la
vous-mme. Dautres outils sont aussi dcrits sur cette page.
Voyons la dmarche avec FTK Imager, qui lui permet aussi la copie dun disque dur.

Figure 1 Cration d'une image disque avec FTK imager

8
http://www.vmware.com/fr/
9
https://www.virtualbox.org/
10
http://www.microsoft.com/windows/virtual-pc/default.aspx
11
http://www.creativeo.net/ii-forensique-lacquisition-de-donnees-ewfacquire/
12
http://www.forensicswiki.org/wiki/EnCase
On slectionne ensuite la partition ou le disque dur que lon souhaite sauvegarder (ici un disque sous
Vmware) et la destination de notre sauvegarde.



Aprs la copie du disque, un hash
13
de limage est ralis afin de pouvoir vrifier lintgrit de notre
image.

13
http://fr.wikipedia.org/wiki/Fonction_de_hachage



Figure 2 Copie du disque ralise
Par souci de scurit, ne pas hsiter faire une copie de sauvegarde du fichier image.
b) Le montage de limage
Une fois la copie ralise, il va falloir monter celle-ci sur un autre poste afin de pouvoir lanalyser.
Pour se faire, il existe les outils suivants :
- Lmdisk
14
(muler un ou plusieurs lecteurs de disques)
- FTK imager
- Encase
Par exemple, dans le cadre dun travail pratique dans mon cursus professionnel, nous avions notre
disposition un fichier zip reprsentant partiellement un disque dur.

14
http://www.ltr-data.se/opencode.html/

Figure 3 Fichier image sous forme de fichier zip
Pour monter ce fichier zip, nous allons utiliser loutil Access FTK Imager
15
.
Monter une image avec FTK imager
Cet outil va nous permettre de monter notre fichier image comme un disque. Ne pas oublier de
raliser une copie de sauvegarde de limage avant tout travail.
On slectionne notre image puis on la monte. On choisit de la monter en lecture seule (read only)
afin de ne pas modifier les fichiers et ainsi ne pas fausser notre analyse.


Figure 4 Montage de l'image avec FTK imager
Notre image devient ainsi accessible via un explorateur de fichiers.


15
http://accessdata.com/products/computer-forensics/ftk

Figure 5 Image accessible par gestionnaire de fichiers
Monter une image avec OSForensics
Dans le cas de la sauvegarde du disque ralise prcdemment, on peut aussi utiliser loutil
OSForensics.

Figure 6 Monter une image avec OSForensics
On clique sur Mount New et on slectionne notre fichier image.



Noublions pas de cocher le montage en lecture seule afin de sauvegarder lintgrit de notre fichier
image.



Figure 7 Image monte et accessible via un explorateur de fichiers
Notre image est maintenant accessible et ne pas tre modifie.
c) Convertir une image en machine virtuelle
Il peut tre parfois intressant de convertir une image en machine virtuelle afin de pouvoir dmarrer
celle-ci. Pour cela, il existe le logiciel LiveView
16
qui se charge de cette tche. Il suffit dindiquer
lemplacement de notre image et cet outil se charge de la convertir en image Vmware. Nous pouvons
ensuite dmarrer limage convertie avec Vmware.

Pour plus dinformations, vous pouvez consulter le lien suivant : How to Create a Virtual Machine
from a Raw Hard Drive Image .

2) Lanalyse du disque
Il va sagir maintenant danalyser le disque afin dy extraire des informations pertinentes :
identification du systme, rcupration des fichiers effacs, analyse des logs, rcupration
dinformations sensibles, etc.

d) Lidentification du systme
La premire tape de lanalyse est de dterminer le systme dexploitation utilis, pour cela nous
avons plusieurs moyens notre disposition
17
.
Sous les systmes Windows 95/98/Me, il existe la prsence dun fichier \MSDOS.SYS. Il suffit douvrir
ce fichier et dexaminer la ligne [Options]WinVer parameter.
Pour les systmes NT/Vista/XP/Seven, il y a dj le nom du rpertoire : c:\Winnt pour les NT,
C:\Wndows pour les XP.
Il est possible de retrouver ces informations dans la base de registre la ruche Microsoft\Windows
NT\CurrentVersion key (ProductName, CSDVersion, ProductId, BuildLab, et sur Vista, BuildLabEx).

16
http://liveview.sourceforge.net/
17
http://www.forensicswiki.org/wiki/Determining_OS_version_from_an_evidence_image
La consultation du fichier setupapi.log dans le rpertoire Windows permet aussi dobtenir le
mme genre dinformations.

Sous Linux, on peut consulter les fichiers /etc/issue et /etc/issue.net pour connaitre la version du
systme. Le document suivant donne aussi dautres pistes : How To Know Which Linux Distribution
You Are Using .


e) La rcupration des fichiers effacs
Quand un document est effac, seule la rfrence dans lindex du disque dur est modifie. Le fichier
est toujours l, mais inaccessible pour le commun des mortels. Nous avons plusieurs outils
disposition pour rcuprer les fichiers effacs :
- Foremost
- Dd_rescue
- NTFS undelete
- Fatback
- Sleuth Kit
- Etc.
On peut aussi utiliser Osforensics qui permet de raliser facilement cette opration.

Figure 8 Rcupration des fichiers effacs
Un disque dur ne dispose pas de fonction deffacement : une fois une donne crite, la seule faon
de leffacer est donc dcrire dautres donnes par-dessus les donnes existantes. Il existe de
nombreux outils permettant un effacement scuris des donnes
18
. Citons le cas par exemple de
Ccleaner (logiciel gratuit destin nettoyer un ordinateur) qui propose de telles options :

Figure 9 Effacement scuris avec Ccleaner
Pour plus dinformations sur leffacement des disques durs, le document suivant est accessible en
ligne : Effacement scuris des disques durs.

f) Lanalyse de la base de registre
La base de registre contient une multitude dinformations trs intressantes analyser. Pour rappel,
celle-ci se prsente sous forme de diffrentes ruches (fichiers) qui sont stockes dans :
- C:\Windows\System32\Config
- C:\Document and Settings\#utilisateur#\NTUSER.dat
- C:\Windows\repair
Pour analyser une base de registre offline, il existe de nombreux outils gratuits :
- Autoruns
19
de sysinternals
- RegRipper
20

- Rip
- RipXP
- RegSlack
- Mitec Windows Registry
21

Commenons par exemple par analyser le fichier NTUSER.dat avec regripper.

Figure 10 Analyse de la base de registre avec RegRipper
Parmi les informations rcupres, nous avons tout ce qui concerne la version de Windows :

18
http://www.espacefr.com/winouti/secu8.php
19
http://technet.microsoft.com/en-us/sysinternals/bb963902
20
http://regripper.wordpress.com/
21
http://mitec.cz/wrr.html

Figure 11 Informations extraites sur la version de Windows utilise
Nous pouvons aussi obtenir tous les fichiers qui ont t excuts sur la machine
22
.

Figure 12 Fichiers excuts sur la machine
Volumes monts
Autre information intressante : les points de montage. Utile pour savoir si un disque dur chiffr
(avec TrueCrypt
23
par exemple) a t mont :

Figure 13 Volumes monts sur le poste
Une autre information intressante rcuprer concerne les documents rcemment ouverts
24
.

22
http://www.nirsoft.net/utils/muicache_view.html
23
http://www.truecrypt.org/
Liste des documents rcemment ouverts
La liste se trouve dans la cl NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Figure 14 Documents rcemment ouverts
Idem avec les fichiers pdf.

Figure 15 Fichiers pdf rcemment ouverts
Il est aussi possible de rcuprer ces informations avec OsForensics.

Figure 16 Rcupration des documents rcemment ouverts

24
http://forensicartifacts.com/2011/02/recentdocs/

Programmes qui se lancent avec Windows
Utile dans le cas danalyse de malwares, la plupart des programmes se lanant au dmarrage de la
machine utilisent souvent ce biais. Les informations se trouvent dans la ruche
Software\Microsoft\Windows\CurrentVersion\Run

Figure 17 Programmes qui dmarrent avec Windows
Nom de la machine et utilisateur
Pour rcuprer le nom de la machine ainsi que lutilisateur, on peut utiliser lutilitaire rip avec le plug-
in system :


Figure 18 Rcupration du nom de la machine
Paramtres du proxy
Rcuprer des informations sur le proxy utilis peut aussi savrer une dmarche intressante
(prsence parfois dun compte utilisateur)

Figure 19 Rcupration des paramtres du proxy

Liste des URL tapes dans internet Explorer
La liste des adresses tapes dans internet Explorer est aussi accessible.

Figure 20 URL tapes dans Internet Explorer
Il existe encore de nombreuses informations intressantes explorer, pour plus dinformations, vous
pouvez consulter ce document.

g) Analyses des fichiers logs / vnements
Tout comme la base de registre, les journaux denregistrement peuvent tre une source
dinformations trs riches. Ceux-ci localiss dans le rpertoire Windows\System32\Config , sont
activs par dfaut sur la plupart des systmes Windows (application, scurit, system).
En analysant ces fichiers, on peut trouver rapidement un vnement rptitif (tentatives multiples
de login par exemple qui peut traduire une tentative dintrusion ou un malware par exemple) qui
peut donner des pistes.
Concernant lanalyse des fichiers logs, vnements, il existe :
- Log Parser
25
(outil qui permet un accs universel aux fichiers journaux)
- Evtrpt.pl
26
(script perl permettant dtablir des statistiques)
- RtCA
27
(outil daide aux analyses)
Avec ce dernier outil, on peut analyser de manire simple et dtaille un fichier log.


25
http://technet.microsoft.com/fr-fr/scriptcenter/dd919274
26
http://windowsir.blogspot.fr/2009/03/eventlog-parsing.html
27
http://omni-a.blogspot.fr/2011/10/rtca-v01-outil-daide-aux-analyses.html


Figure 21 Analyse de fichier log avec l'outil rtCA
Pour avoir plus dinformations sur lemplacement des fichiers logs, il est possible de consulter ce
document : Liste des fichiers logs.
h) Lanalyse des traces de connexion Internet
Il peut tre judicieux danalyser les navigations web effectues partir du poste. Pour cela, il existe
de nombreux utilitaires :
- ProDiscover
28

- NetAnalysis
29

- Web Historian
30

- IEHistoryView, etc.
31

Ci-dessous une analyse de la navigation Internet avec loutil NetAnalysis ainsi que Web Historian. En
gnral ces outils analysent le fichier index.dat prsents dans document and
settings\#user#\Cookies



28
http://www.techpathways.com/prodiscoverdft.htm
29
http://www.digital-detective.co.uk/
30
http://www.mandiant.com/products/free_software/web_historian/
31
http://www.nirsoft.net/computer_forensic_software.html

Figure 22 Analyse web avec NetAnalysis

Figure 23 Analyse web avec Web Historian
Pour ceux que le sujet intresse, voici une liste dautres liens :
- http://www.symantec.com/connect/articles/web-browser-forensics-part-1
- http://www.forensicswiki.org/wiki/Internet_Explorer_History_File_Format

i) La recherche de fichiers
Il peut tre parfois fastidieux deffectuer des recherches de fichiers sur un disque dur, de par la
multitude des fichiers existants. Heureusement il existe des outils pour nous aider dans cette tche.
Parmi eux, nous pouvons citer :
- Access Forensic Toolkit
32

- OSForensics
- Scalpel
33

- Sleuth Kit
Par exemple avec loutil Forensic Toolkit, nous pouvons facilement crer un index des fichiers, ce qui
permet davoir un tri selon le type de fichier et leur extension.

32
http://accessdata.com/products/computer-forensics/ftk
33
http://www.digitalforensicssolutions.com/Scalpel/


Figure 24 Cration d'un index avec Forensic Toolkit
Loutil OSForensics permet lui aussi de crer un index des fichiers sur le disque analys afin de
simplifier les recherches.



Figure 25 Cration d'un index avec OSForensics
Ces outils permettent de faciliter les recherches et les investigations ventuelles (rcupration des
emails, images, fichiers excutables, etc.)
j) La rcupration dinformations sensibles
Peut-tre une partie les plus intressantes dune analyse forensique : la rcupration dinformations
sensibles. Il y a beaucoup de types diffrents : mots de passe des utilisateurs de la machine, mots de
passe enregistrs dans le navigateur, mots de passe des logiciels tiers Voyons ensemble comment
extraire ce type dinformations.
Lextraction des comptes utilisateurs de la machine
Toujours utile de savoir comment extraire les comptes utilisateurs dun systme Windows. Pour plus
dinformations sur la manire dont Windows stocke les mots de passe des utilisateurs, le lien suivant
est accessible : Comment faire pour utiliser l'utilitaire SysKey pour scuriser la base de donnes du
gestionnaire des comptes de scurit de Windows .

Il existe de nombreux outils tels que pwdump
34
pour extraire les comptes utilisateurs dun systme
Windows. Le souci est que ces outils ne fonctionnent que sur les systmes on-line. Dans notre cas,
nous allons devoir rcuprer la cl de chiffrement systme stocke localement. Pour cela, nous allons
loutil HashDumper
35
de Cain
36
, outil qui permet deffectuer des attaques rseau et de cracker des
mots de passe.
Cette cl se trouve dans la ruche system du rpertoire systme de Windows. On ouvre Cain et on
utilise lutilitaire syskey decoder .

Figure 26 Syskey Decoder
Ne souhaitant pas rcuprer la cl stocke localement sur notre systme, on indique lemplacement
du fichier system de notre image prsente dans \Windows\System32\config :

Figure 27 Emplacement de la ruche system
Cain extrait alors de manire automatique la cl de chiffrement.

Figure 28 Extraction de la cl de chiffrement
Cette cl de chiffrement rcupre, nous allons pouvoir extraire les comptes utilisateurs de la SAM.
On se rend dans longlet cracking et on clique sur la case + .

34
http://syskb.com/telecharger-pwdump/
35
http://www.oxid.it/ca_um/topics/nt_hashes_dumper.htm
36
http://www.oxid.it/cain.html

Figure 29 Extraction des comptes utilisateurs de la machine
On indique ensuite lemplacement de la base SAM de notre image (\Windows\System32\config ) et la
cl de chiffrement que nous avons rcupr prcdemment.

Aprs avoir cliqu sur le bouton next , on obtient alors lensemble des comptes utilisateurs du
systme analys.

Figure 30 Comptes utilisateurs extraits
Le compte administrateur a un mot de passe vide, mais si ce nest pas le cas, Cain propose des
mthodes pour casser le mot de passe. Un simple clic droit sur le compte permet de choisir sa
mthode.

Figure 31 Cassage des mots de passe
On peut aussi obtenir le mme rsultat avec OSForensics.

Figure 32 Rcupration des hash avec OSForensics
Extraction des mots de passe des navigateurs
Pour une liste des emplacements ou Windows stocke les diffrents mots de passe, le document
suivant est consultable en ligne : Password Storage Locations For Popular Windows Applications



Toujours avec OSForensics, il est possible de scanner une machine afin dy rcuprer les mots de
passe des diffrents navigateurs.

Figure 33 Rcupration des mots de passe du navigateur
Nanmoins ceci ne semble pas fonctionner avec la version gratuite de cet outil, nous pouvons donc
utiliser certains outils nirsoft afin de raliser ces oprations. Prenons par exemple lextraction des
mots de passe de Firefox avec loutil PasswordFox
37
. Cet outil permet dextraire les mots de passe
localement ou situ sur un disque externe. (File -> Select folders)


37
http://www.nirsoft.net/utils/passwordfox.html

Figure 34 Rcupration des mots de passe stocks par Firefox
Sur le mme site, des outils existent pour les diffrents navigateurs : Internet Explorer, Google
Chrome, Opra et Safari.
Extraction des secrets LSA
LSA pour Local Security Autority
38
est un espace de stockage des informations tel que les mots de
passe utiliss pour dmarrer certains services. Pour extraire les mots de passe LSA, on peut utiliser
loutil LSASecretsView
39
de Nirsoft. Cet outil permet aussi de retrouver les mots de passe dune
machine externe.


Figure 35 Extraction des secrets LSA

38
http://www.windowsnetworking.com/kbase/WindowsTips/WindowsNT/RegistryTips/Miscellaneous/LSASecrets.html
39
http://www.nirsoft.net/utils/lsa_secrets_view.html
Rcupration du mot de passe VNC
Si le logiciel VNC est install sur le poste analys, il est possible dextraire la cl de registre
correspondante et de retrouver le mot de passe. Pour cela, nous pouvons utiliser loutil
vncpwdump
40
.

Figure 36 Rcupration du mot de passe VNC
Recherche de fichiers protgs
On appelle par fichier protg , les fichiers qui ncessitent un mot de passe (exemple : fichier zip
protg par un mot de passe). Pour rechercher ce type de fichiers sur un poste, nous pouvons par
exemple utiliser loutil Password Recovery Toolkit Forensic
41
. Cest un outil offrant de nombreuses
fonctions dont le dchiffrement de conteneurs truecrypt, la rcupration de mots de passe, le
crackage de fichiers protgs, etc.

Figure 37 Password Recovery Toolkit Forensic
Pour la recherche de fichiers protgs, on choisit loption approprie.

Figure 38 Recherche de fichiers protgs

Une fois quun fichier protg a t trouv, il est aussi possible de chercher le mot de passe.

De nombreuses options sont disponibles afin de retrouver le mot de passe.

40
http://www.cqure.net/wp/vncpwdump/
41
http://www.tracip.fr/password-recovery-toolkit.html


Figure 39 Crackage du mot de passe d'un fichier protg
Loutil OSForensics propose aussi le mme genre dattaque.

Figure 40 Cassage de mots de passe avec OSForensics
Dchiffrement de containers TrueCrypt
Une option intressante de Password Recovery Toolkit Forensic est la possibilit de lancer une
attaque pour trouver les mots de passe de containers truecrypt
42
. TrueCrypt est un outil permettant
de crer des disques durs virtuels chiffrs.

42
http://www.truecrypt.org/


Figure 41 Crackage de containers Truecrypt
Une fois lemplacement du container TrueCrypt indiqu, nous lanons une attaque de recherche de
mots de passe.

Par contre la vitesse de calcul est tellement basse que sans indication du mot de passe, il est illusoire
desprer le trouver.

Nanmoins une option de loutil est de permettre de rechercher la trace de cl de chiffrement aes
43

dans la mmoire vive, ce qui permet le dchiffrement rapide dun container TrueCrypt.

Figure 42 Cassage d'un container TrueCrypt par analyse de la mmoire vive


43
http://fr.wikipedia.org/wiki/Advanced_Encryption_Standard

Malgr tout il faut rester raliste, car cette mthode ncessite de faire une capture de la mmoire
vive pendant que le container TrueCrypt est ouvert, ce qui est assez peu probable en situation relle.

Rcupration dautres mots de passe
La machine analyse peut contenir de nombreux autres logiciels tiers installs dont la rcupration
dinformations sensibles est possible. Raliser leur liste exhaustive tant impossible, je me
contenterais den citer quelques uns, je laisse le soin aux lecteurs motivs deffectuer leurs propres
recherches :
- FileZilla
44
(serveur FTP) : Password Recovery for FileZilla
45

- Remote Desktop
46
: Remote Desktop Passview
47

- Mot de passes VPN, RAS, dialup : dialupass
48

Pour savoir quels sont les logiciels installs sur le poste, la chose la plus simple faire est de
consulter le rpertoire \program files et de faire une liste des logiciels qui pourraient contenir des
informations intressantes rcuprer.









44
http://filezilla.fr/
45
http://www.reactive-software.com/filezilla-password-recovery.html
46
http://fr.wikipedia.org/wiki/Remote_Desktop_Protocol
47
http://www.nirsoft.net/utils/remote_desktop_password.html
48
http://www.nirsoft.net/utils/dialupass.html
Conclusion

Ce document a uniquement trait de lanalyse forensique froid c'est--dire quand le systme est
teint. Nous avons pu constater que nombreux sont les outils qui permettent danalyser et daider
lanalyse de ce type de systme. Il nest bien sr pas exhaustif et de nombreux points tels que la
recherche de malwares
49
, lexpertise judiciaire, la dtection dune intrusion nont pas t abords.
Ces points ncessitent souvent dautres connaissances techniques que je nai pas souhait dtailler
dans ce document.

Une autre approche intressante et qui offre de nombreuses possibilits concerne lanalyse de la
mmoire vive. Si le thme vous intresse, je ne peux que vous suggrer de vous initier au framework
Volatility
50
. Un excellent document ralis par Devoteam traite de lanalyse de la mmoire vive :
Livre blanc Devoteam H@ckRAM, attaques contre la mmoire.

Si le domaine de lanalyse forensique du point de vue expertise judiciaire vous intresse, je vous
suggre aussi lexcellent blog de Zythom qui contient de trs nombreux articles intressants sur le
thme :
- Comment devenir un expert judiciaire
- Demande dinformations
- Le rapport dexpertise
- Rcupration dimages et plus encore
- La rcupration des donnes, faites la vous-mme
Un document pdf regroupant lensemble de ces posts est dailleurs disponible : Dans la peau dun
informaticien expert judiciaire T1 .

Je ne puis aussi que vous conseiller lexcellent magazine MISC qui traite bien souvent des
problmatiques lies lanalyse forensique. Le numro 56 y est dailleurs consacr.

Vous trouverez aussi dans la partie bibliographie dans de nombreux liens pour aller plus loin.

En cas de suggestions, critiques ou autres, vous pouvez toujours mcrire
bertrandcedriccc@hotmail.fr


49
http://fr.wikipedia.org/wiki/Logiciel_malveillant
50
https://www.volatilesystems.com/default/volatility
Challenges

Ci-joint une liste de challenges afin de tester ses connaissances dans le domaine de lanalyse
forensique.

Digital Forensic Challenge
The Forensic Challenge
Rooted
Forensic Challenge
DFRWS 2005 Forensics Challenge
Test Images and Forensic Challenges
Forensic Contest















Live-Cd forensics
Il existe de nombreuses distributions ddies lanalyse forensique. En voici quelques-unes.

Helix
Helix est une distribution GNU/Linux Ubuntu customise intgrant un ensemble d'outils destins
attaquer, valuer la scurit et la compromission d'une machine ou d'un rseau.

http://www.e-fense.com/products.php

Caine (Computer Aided INvestigative Environment Digital Forensics)
CAINE est une solution Live[CD|USB] d'interoprabilit qui regroupe, en tant que modules, un grand
nombre d'outils Open Source pour faciliter, via une interface graphique homogne, la collecte de
donnes et la recherche lgale de preuves numriques sur un ordinateur compromis.

http://www.caine-live.net/
Deft
DEFT Linux est un live-CD dsormais bas sur Ubuntu et intgrant une panoplie d'applications open-
source spcialement destines aux enqutes de criminalit informatique.

http://www.deftlinux.net/
Backtrack 5
Base sur Ubuntu depuis la version 4, son objectif est de fournir une distribution contenant
lensemble des outils ncessaires aux tests de scurit dun rseau. Elle contient aussi de nombreux
outils consacrs lanalyse forensique.


http://www.backtrack-linux.org/

COFEE (Computer Online Forensic Evidence Extractor)
Outil relativement priv et confidentiel fourni par Microsoft aux services de police. Contient plus de
150 outils destins rcuprer des preuves sur un ordinateur. Disponible sur Internet suite une
fuite.




Bibliographie

Criminalits numriques
http://blog.crimenumerique.fr

Blog d un informaticien expert judiciaire
http://zythom.blogspot.fr/

Wiki Forensics
http://www.forensicswiki.org/

Analyse forensique dun systme Windows
http://devloop.users.sourceforge.net/index.php?article29/analyse-forensique-d-un-systeme-
windows-partie-1

Analyse compltement sick Les tutos de nicos
http://www.lestutosdenico.com/outils/analyse-forensique-completement-sick

Dtection d'une intrusion et ralisation d'un audit post-mortem
http://stankiewicz.free.fr/Wikka/wikka.php?wakka=HowtoForensic

Misc - Recherche de malwares froid

Misc n56 Forensics : Les nouveaux enjeux