09/12/2021

Computer Forensic Case

Réaliser par : ayoub amine

 • C’est quoi autopsy

Autopsy est un logiciel informatique qui simplifie le déploiement de

nombreux programmes et plug-ins open source utilisée dans The Sleuth
Kit. L’interface utilisateur graphique affiche les résultats de la recherche
médico-légale du volume sous-jacent, ce qui permet aux enquêteurs de
signaler plus facilement les sections de données pertinentes. L'outil est
en grande partie maintenu par Basis Technologie Corp. avec l'aide de
programmeurs de la communauté. L'entreprise vend des services
d'assistance et de formation à l'utilisation du produit.
Étape 1 :
Après avoir téléchargé le disque de preuves et installé Autopsy, exécutez
Autopsy et sélectionnez Nouveau cas

1
Étape 2 :
Définissez un nom pour ce cas car j'ai défini ayoub.amine et également défini
l'emplacement où vous souhaitez enregistrer vos données d'enquête médico-
légale.
Cliquez sur suivant et fournissez des informations, mais c'est facultatif.
Cliquez sur terminer.

2
Étape 3 :
Sélectionnez les premières options Image disque

Sélectionnez l'image disque de preuve que vous avez téléchargée auparavant.

J’ai créé un séparé dossier par le nom de Forensic Case et collé les images
disque dedans.

3
Remarque : bien que les deux parties de l'image téléchargée se trouvent dans
ce dossier, vous ne verrez que la première partie à sélectionner. L'autopsie
prendra automatiquement la deuxième partie de l'image téléchargée.

On Clique sur suivant et laissez toutes les options par défaut.

4
On va Attendez que toutes les étapes d'analyse et de vérification d'intégrité se
chargent complètement.
Assurez-vous d'avoir suffisamment de stockage minimum 1 Go sinon les
modules ne seront pas complètement charge et l'enquête sera incomplète.
1. Generating an image hash and confirming the integrity of the image
Réponse:

aee4fcd9301c03b3b054623ca261959a
Comment
Cliques sur Data source --> Select the image Dell Latitude CPi, E01 --> Cliques
sur File Metadata

MD5: aee4fcd9301c03b3b054623ca261959a

Nous vérifions le hachage pour voir si l'image n'est pas modifiée ou si quelque
chose n'est pas ajouté ou supprimé des activités. C'est très important car une
seule falsification des données rendrait un accusé coupable ou innocent.

2. Determining the Operating System used on the disk

Réponse:
Microsoft Windows XP
Comment

5
Cliques sur data artifacts --> Operating System Information
Puis sur le côté droit, cliquez sur le software, vous pouvez voir l'onglet
Informations sur le programme qui est écrit Microsoft Windows XP.

3. Determining the date of OS installation

Reponses:
2004-08-20 00:48:27 CEST
Comment
Cliques sur data artifacts --> Operating System Information
Puis sur le côté droit, cliquez sur le software que vous pouvez voir sous l'onglet
Date Heure qui est écrit Microsoft Windows XP

4. Determining the registered owner, account name in use and the last recorded
shut down date and time

6
Réponse:
Ro : Greg Schardt
The last recorded shutdown time of the computer is 2004/08/27-10:46:27
Comment
Cliques sur data artifacts --> Operating System Information
Puis sur le côté droit, cliquez sur le logiciel, vous pouvez voir l'onglet
Propriétaire qui montre Greg Schardt.

Cliques sur Data Sources select 4Dell Latitude --> vol2 -->
WINDOWS\system32\config\software\Microsoft\WindowNT\CurrentVersion\P
refetcher\ExitTime

5. Determining the account name of the user who mostly used the computer and
the user
who last logged into it
Réponse:
N-1A9ODN6ZXK4LQ
Comment

7
Cliques sur data artifacts --> Operating System Information
Puis sur le côté droit, cliquez sur System, vous pouvez voir le sous Nom qu'il
affiche
N-1A9ODN6ZXK4LQ

6. Determining the hacker handle of the user and tying the actual name of the
user to his hacker handle
Réponse:
Comment

7. Determining the MAC and last allocated IP address of this computer

Réponse:
IP=192.168.1.111, MAC=00:10:a4:93:3e:09
Comment
Cliques sur Data Sources select 4Dell Latitude --> vol2 --> Program
Files/Look@LAN/irunin.ini

8
8. Locating the programs installed in this computer that could have been used
for hacking purposes
Réponse:
Les programmes qui seront utilisés à des fins de piratage
Comment
Cliques sur Data Artifacts \installed programs

9
9. Collecting information regarding the IRC service that was used by the owner
Réponse:
User= mini me
Email= none@of.ya
Nick=Mr
Anick=mrevilrulez
Comment
Cliquez sur Data Sources select 4Dell Latitude --> vol2 --> Program files \mIRC

10
10. Searching the Recycle Bin for relevant information
Réponse:
4 files in recycle bin
Comment
Cliques sur Data Sources select 4Dell Latitude --> vol2 --> Recycler

11. Listing the Newsgroups that the owner of the computer has registered to
Réponse:
On retrouve de nombreux newsgroups auxquels M. Evil s'est abonné
Comment

11
Cliquez sur Data Sources select 4Dell Latitude --> vol2 --> Documents and
settings\Mr .Evil\Local settings\Application Data\Identities\Microsoft\outlook
Express

12. Determining the SMTP email address in use.

Réponse:
The SMTP email address is whoknowsme@sbcglobal.net
Comment
Cliquez sur Data Sources select 4Dell Latitude --> vol2 --> Program
Files\Agent\Data\Agent.ini

12
13