Vous êtes sur la page 1sur 2

TP2 analyse de cl USB

Intro :

La deuxime partie de ce projet concerne l'analyse d'un priphrique de mmoire flash USB. Le
dispositif, lorsqu'il est attach un PC, apparat comme deux lecteurs et pour chacun des lecteurs, un
ensemble d'images a t ralis l'aide d'un outil d'image forensique; flash0.E01 et flash1.E01. Les
fichiers sont sous une forme standard qui peut tre lu et aliment en diffrents outils d'analyse. Dans ce
projet, nous utilisons l'outil Autopsy un navigateur que vous trouvez sur l'image virtuelle de Kali avec
diffrents outils pour un logiciel informatique simple une analyse.

Prparation
Pour analyser les images, nous utilisons Linux Kali. C'est une distribution Linux avec de nombreux
outils de test de pntration qui se trouvent l'adresse https://www.kali.org/.
Il existe aussi un live-cd que peut tre transform en pendrive amorable. Ce serait le type de solution
que vous utiliserez lors de l'analyse d'un PC complet.
Vous commencez simplement l'autopsie en entrant "autopsy" dans un terminal.
Autopsy s'excute dans un navigateur sur l'adresse "http: // localhost: 9999". Utilisez le navigateur
Firefox (il y a des problmes avec Chrome)
On peut facilement ajouter les fichiers image dans la machine virtuelle Kali en faisant simplement
glisser-dposer. Pour plus de commodit, nous avons dj plac trois fichiers sur le bureau: flash0.E01,
flash1.E01 et flash2.E01. Notez galement que la machine virtuelle peut lire partir des ports USB de
votre machine hte.
Avec autopsy, vous pouvez essayer d'ouvrir les fichiers image en tant que disque ou partition. Le moteur
Autopsy est ici un peu ennuyeux ici pour notre but car il ne permet pas aux utilisateurs de simplement
supprimer un ajout image. Il est plus simple ici d'ajouter un nouvel hte auquel vous ajoutez la mme
image dans un autre la mode (par exemple, la partition au lieu du disque). Excutez l'analyse afin que
vous puissiez naviguer facilement dans les fichiers.
Questions :
Chargez l'un des fichiers d'image, par ex. flash0.E01, dans le systme Autopsy et collecter autant
d'informations sur le priphrique USB (par exemple, quel type de priphrique USB est-il), voir la
figure 1. Dcrivez comment ce flash USB a fonctionn / port lorsqu'il a t insr dans un
Windows PC.
2. Listez les fichiers que vous trouvez sur l'image, y compris les fichiers qui ont t effacs (le plus
possible, bien sr).
3. Que pouvez-vous raconter sur l'utilisateur du disque USB? A-t-il laiss des traces intressantes?
4. Rptez l'opration avec l'autre fichier image, par ex. flash1.E01.
Optionnel :
Au lieu des fichiers d'image donns existants, vous pouvez utiliser les outils du Live CD en direct pour
crer une image des lecteurs USB ou des cartes SD (si le PC dispose d'un lecteur).
Prenez un petit car cela peut prendre du temps. Dterminez et documentez les caractristiques du
priphrique de mmoire de votre ami.
Excutez une analyse de fichier, dans quelle mesure vous pouvez rcuprer les fichiers?
Vrifiez les rsultats avec votre ami.

xxd: https://www.systutorials.com/docs/linux/man/1-xxd/ [2]

Hexeditor: http://manpages.ubuntu.com/manpages/zesty/man1/hexeditor.1.html

Vous aimerez peut-être aussi