Investigation numérique

Chapitre 2
Systèmes Windows et DOS

IUC/3IAC
Département CS2I/3IL
Nembot Kalachi, ing, ISO27001LI, CEHV 10, CCSA
Objectifs
 Comprendre les systèmes de fichier
 Comprendre les disques
 Exploration des structures de fichier Microsoft
 Partitions de disques
 Master Boot Record (MBR)
 Examiner le format de disque NTFS (New Technology File System)
 Comprendre le registre Windows
 Comprendre les tâches de boot Microsoft
 Comprendre les tâches de démarrage de MS-DOS
Comprendre les systèmes de fichier
 Le Système de fichier
– Cartographie les données sur le disque
– Détermine comment les données sont stockées sur le disque

 Être familier avec les systèmes de fichier permet une manipulation plus aisée
des unités de stockages statiques.
Comprendre la séquence de Boot
 Éviter la contamination ou la modification des données
 Le CMOS (Complementary Metal Oxide Semiconductor)
– Garde la configuration du système, les données et l’heure
 BIOS
–Effectue les entrées/sorties au niveau matériel
 S’assurer que l’ordinateur boot à partir d’un disque externe
– Modifier le CMOS: L’accès au CMOS dépend du BIOS ( Touche Delete,
Ctrl+Alt+Insert, Ctrl+A ,Ctrl+F1, F2, F12
Comprendre les disques
 Composés d’un ou plusieurs plateaux
 Éléments d’un disque :
– Géométrie
– Tête
– Pistes
– Cylindres
– Secteurs
Comprendre les disques
Exploration des structures de
fichier Microsoft
 Besoin de comprendre
– FAT
– NTFS
 Les secteurs sont groupés en clusters
– Unités d'allocation de stockage d'au moins 512 octets
– Réduisent les temps de lecture/écriture
 Clusters : adresses logiques
 Secteurs : adresses physiques
Partitions de disques
 Disque logique
 Partitions cachées ou vides
– Les grands espaces inutilisés entre les partitions
– On parle de « partition gaps »
– Peuvent cacher des données
 Utiliser un éditeur de disque pour changer la table de partitions
– Norton Disk Edit
– WinHex, Hex Workshop
– http://www.x-ways.net/winhex/index-m.html
 Fontions additionnelles d’un éditeur de disques
–Identifier le SE sur un disque inconnu
–Identifier les types de fichier
Partitions de disques
Partitions de disques
Master Boot Record (MBR)
 Stocke l’information sur les partitions
–Localisation
–Taille
–Autres
 Un logiciel peut remplacer le MBR
–PartitionMagic
–LILO
–Peut interférer avec les tâches du Forensics
–Utilisation possible de plusieurs outils
Examen des disques FAT
 FAT a été développé à l'origine pour les disquettes
– les noms de fichiers, noms de répertoires, horodatages, cluster de
départ, attributs sont typiquement écrit sur la piste la plus externe
 Evolution
–FAT12
–FAT16
–FAT32
Examen des disques FAT
Examen des disques FAT
 Chaînage de cluster
–Les clusters de fichiers sont ensemble (si possible)
 Produit une fragmentation
 Outils
–Norton DiskEdit
–Commande CFE (Chain Fat Entry) de DriveSpy
 La reconstruction de chaînes cassées peut être difficile
Examen des disques FAT
Examen des disques FAT
Examen des disques FAT
 Suppression de fichiers FAT
• Le nom de fichier dans la base de données FAT commence par HEX E5
• La chaîne FAT pour ce fichier est définie sur zéro
• L'espace disque libre est incrémenté
• Les données réelles restent sur le disque et peuvent être récupéré
avec des outils d’investigation
Examen des disques NTFS
Examen des disques NTFS
 Première introduction avec Windows NT
 Fournit des améliorations par rapport aux systèmes de fichiers FAT
–Stocke plus d'informations sur un fichier
 L'évolution de Microsoft vers un système de fichiers journalisé
–Garder une trace des transactions
–Peut être annulé
Examen des disques NTFS
 Partition Boot commence au secteur 0
 Table de fichiers maîtres (MFT)
–Premier fichier sur le disque
–Contient des informations sur tous les fichiers sur le disque (méta-
données)
 Réduit l'espace libre
 NTFS utilise Unicode –UTF-8, UTF-16, UTF-32
Examen des disques NTFS
Attributs de fichier NTFS
 Tous les fichiers et dossiers ont des attributs
 Attributs des résidents
–Stocké dans le MFT (Master File Table)
 Attributs non résidents
–Tout ce qui peut être stocké sur le MFT
 Utilise des inodes pour les attributs non résidents
 Numéros de cluster logiques et virtuels –LCN et VCN
Flux de données NTFS
 Les données peuvent être ajoutées à un fichier lors de l’examen d’un disque
–Peut masquer des données probantes précieuses
 Attribut de données supplémentaire d'un fichier
 Autoriser les fichiers à être associés à différentes applications
Fichiers compressés NTFS
 Améliorer le stockage des données –Compression similaire à FAT DriveSpace
3
 Un fichier, des dossiers ou un volume entier peuvent être compressés
 Transparent lorsque vous travaillez avec Windows XP, 2000 ou NT
 Besoin de le décompresser lors de l'analyse
–Les outils avancés le font automatiquement
Système de fichiers chiffrés NTFS (EFS)
 Introduit avec Windows 2000
 Implémente une méthode de chiffrement à clé publique / clé privée
 Certificat de récupération
–Mécanismes de récupération en cas de problème
 Fonctionne pour les postes de travail locaux ou les serveurs distants
Suppression de fichiers NTFS
 Similaire à FAT
 NTFS est plus efficace que FAT
–Récupérer l'espace supprimé
–Les fichiers supprimés sont écrasés plus rapidement
Partitions de disques
Comprendre le registre Windows
 Base de données qui stocke:
–Configuration matérielle et logicielle
–Préférences de l'utilisateur (noms d'utilisateur et mots de passe)
–Informations de configuration
 Utilisez la commande Regedit pour Windows 9x
 Utilisez la commande Regedt32 pour Windows XP et 2000
 Visionneuse de registre FTK
Comprendre le registre Windows
 Registre Windows 9x
–User.dat
–System.dat
 Registre Windows 2000 et XP
- \ Winnt \ System32 \ Config
- \ Windows \ System32 \ Config
–Système, SAM, sécurité, logiciel et NTUser.dat
Comprendre le registre Windows
les tâches de démarrage Microsoft
 Empêcher les preuves numériques dommageables
 Les systèmes d'exploitation modifient les fichiers au démarrage de
l'ordinateur
Démarrage de Windows XP, 2000 et NT
 Etapes:
–Autotest à la mise sous tension (POST)
–Démarrage initial
–Boot loader
–Détection et configuration du matériel
–Chargement du noyau
–Connexion utilisateur
Fichiers de démarrage pour Windows XP
 Fichiers utilisés pendant le processus de démarrage:
–NTLDR
–Boot.ini
–BootSec.dos
–NTDetect.com
–NTBootdd.sys
–Ntoskrnl.exe
–Hal.dll
–Pilotes de périphérique
Fichiers de démarrage pour Windows XP
Démarrage de Windows 9x et Me
 Windows Me ne peut pas démarrer en véritable mode MS-DOS
 Les systèmes d'exploitation Windows 9x ont deux modes
–Interface en mode protégé DOS (DPMI)
Invite de commande depuis le menu de démarrage
–GUI en mode protégé •
Dos shell dans Windows •
 Fichiers de démarrage
–Io.sys
–Msdos.sys
–Command.com
Démarrage de Windows 9x et Me
Comprendre la tâche de démarrage MS-
DOS
 Io.sys
–Chargé après l'amorçage de la ROM
–Trouve le lecteur de disque
–Fournit des services d'entrée / sortie de base
 Msdos.sys
–Chargé après Io.sys
–Noyau réel pour MS-DOS
–Recherche Config.sys
–Charge Command.com
–Charge Autoexec.bat
Comprendre la tâche de démarrage MS-
DOS
 Config.sys
–Les commandes ne s'exécutent qu'au démarrage du système
 • Autoexec.bat
–Paramètre personnalisé pour MS-DOS
–Définir le chemin par défaut et les variables d'environnement
Autres systèmes d'exploitation de disque
 Programme de contrôle pour microprocesseurs (CP / M)
 Système d’exploitation de recherche numérique (DR-DOS)
 Système d’exploitation de disque d’ordinateur personnel (PC-DOS)
–Développé par IBM
Resume
 FAT:
–FAT12, FAT16 et FAT32 •
 Le registre Windows conserve la configuration et les préférences
matérielles et logicielles
 Rechercher des informations masquées sur le fichier, la RAM et la
portion du lecteur
 NTFS utilise Unicode pour stocker des informations
 NTFS utilise des inodes pour lier les enregistrements d'attributs de fichiers –
Résident et non-résident • Fichiers compressés NTFS • Fichiers Chiffres NTFS
(EFS)