IR317: Forensics

Manipulation 2
Adrien Voisin, Guillerme Duvillié, Julien Denis
Henallux - 2021-2022

1 Introduction
Grâce à votre analyse Forensics de la clé USB, le suspect a pu être appréhendé. Son ordi-
nateur a été saisi à son domicile et l’équipe en charge a pu réaliser une image du disque dur
de celui-ci. Dans ce laboratoire, on vous demande tout d’abord de vous entrainer à capturer
vous-même une image disque sous Windows et sous Linux. Ensuite, vous pourrez passer à
l’analyse de l’image du disque de votre suspect.

2 Conseil pratique
Travailler avec des images disque est parfois laborieux. En effet, les images peuvent rapi-
dement atteindre des tailles importantes, comme dans notre cas, 50Gb pour l’image de la
machine du suspect. Afin de vous éviter des problèmes, commencez dès le début de la ses-
sion à télécharger l’image si ce n’est pas déjà fait. De plus, l’analyse préliminaire de l’image
avec Autopsy peut également prendre un temps certain. Veillez donc à bien gérer les 8h de
laboratoire pour ne pas perdre du temps à attendre ce genre de traitements.

3 Capture de la mémoire non-volatile

Pour cette partie, on vous demande d’utiliser deux machines virtuelles:

• Une machine virtuelle de type Kali Linux

• Une machine virtuelle de type Windows 10

Sur chaque VM, ajoutez un volume physique dans virtualbox (de 500Mb par exemple).
Ensuite, créez une partition sur ce volume (EXT4 pour Kali, NTFS pour Windows). Une
fois vos volumes logiques créés, effectuez les opérations suivantes:

• Ajoutez des fichiers divers sur ces volumes (images, fichiers texte, pdf etc)

• Supprimez la moitié de ces fichiers.

1
 • Sur la VM Kali, utilisez Guymager pour créer une image de la partition créée

• Sur la VM Windows, utilisez FTK Imager pour créer une image de la partition créée

Autre question : Comment feriez-vous pour placer une partition en read-only sur Win-
dows et Linux ?

4 Analyse de la mémoire non-volatile

Pour la partie analyse, vous pouvez télécharger et installer Autopsy sur une machine Win-
dows https://www.autopsy.com/download/

4.1 Analyse de vos images

Dans cette première partie on vous demande d’analyser l’image capturée à l’étape précédente.
Pour chaque image, lancez Autopsy et importez vos images (une à la fois). Tentez d’identifier
les fichiers supprimés.

4.2 Analyse du disque du suspect

Récupérez l’archive contenant l’image disque d’une machine Windows suspectée d’avoir été
utilisée dans le contexte d’une attaque sur le CHR. Pour rappel, lors de la manipulation
1 vous aviez déjà récupéré une série d’indices numériques à charge du suspect. Utilisez
ces indices pour orienter au mieux vos recherches et tentez de compléter votre dossier en
récupérant toutes les informations qui vous permettront de vérifier l’hypothèse selon laquelle
le suspect aurait bel et bien utilisé la clé USB afin d’infecter une machine du CHR. Vérifiez
que ce suspect n’a pas pas effectué d’attaques directement depuis sa machine.