Académique Documents
Professionnel Documents
Culture Documents
Ici, nous allons utiliser le framework Autopsy téléchargeable à cette adresse. Autopsy est
disque.
Data Source
Enfin, les données seront analysées et parsées par Autopsy. Vous devriez avoir un écran
votre image.
Lorsque les données ont fini d’être parsées par Autopsy, il est possible d’explorer
notre image.
Par exemple, il est possible de voir les différents types de fichiers sur le système. Ici
nous affichons par exemple les exécutables sur le système, et nous retrouvons nos
exécutables suspects.
Nous récupérons ici les différent fichiers précédemment identifiés en faisant un clic
droit, puis Extract File.
• rad5163B.tmp.exe ;
• RGoEsDNcZhEnl.exe ;
• rfhyMVOQxfc.exe ;
• bVwHCYX.exe
En faisant une recherche par type de fichier ou par fichiers récents, nous trouvons des
Il est également possible d’afficher les fichiers avec l’utilisation de chiffrement. Ci-
disque dur. Nous avons vu comment analyser et collecter la base de registre, les event
Nous avons pu confirmer que l'attaquant a utilisé un moyen de persistance en créant une clé
Nous avons également récupéré les logiciels malveillants identifiés, ainsi qu'un
Avec Outlook, les emails sont stockés dans un fichier PST. Chaque compte de messagerie que
vous avez configuré dans Outlook reçoit sa propre base de données sous la forme d'un fichier
PST (Personal Storage Table), où les courriers électroniques, les éléments de calendrier, les
Vous pouvez également remarquer des fichiers avec une extension .ost dans votre dossier de
données Outlook. Les fichiers OST ont le même format que PST, mais sont généralement utilisés
comme stockage temporaire hors connexion de courriers électroniques pour les serveurs
Pour extraire les fichier OST et PST il est possible de se rendre dans le répertoire
suivant C:\users\username\AppData\Local\Microsoft\Outlook .
Une fois que le fichier OST est chargé, nous pouvons explorer la boite email :
Nous pouvons voir ici qu'un email a été reçu provenant d'un adresse @guerrillamail.com qui est
un fournisseur d'email temporaire en ligne. Par ailleurs nous pouvons voir également le contenu
Après avoir analyser les emails nous avons récupérer des pièces jointes qui correspondent au
vecteur d’infection. Dans ce chapitre nous allons à présent étudier comment analyser des fichiers
malveillants. Nous nous concentrerons sur les fichiers PDF et Office précédemment découvert
Le format PDF a beaucoup plus de fonctions que juste du texte ; il peut inclure des
images et d'autres éléments multimédias, il peut être protégé par un mot de passe, il
présent analyser un fichier PDF un peu plus en détail. L'objectif va être d'y
Un des premiers outils que nous pouvons utiliser est PDFID qui nous permet
Ici nous pouvons voir des informations concernant le contenu du fichier, le nombre
d’objets etc.. Par exemple nous voyons ici que le fichier PDF embarque du
Javascript.
Il est également possible d’utiliser l’outil pdf-parser pour parser le contenu du fichier
terminée ! Vous avez analysé les différents artefacts qui vous ont été donnés et