nous allons à présent étudier comment les données sont stockées sur un système

Windows et comment réaliser une chronologie des évènements, afin de mieux comprendre ce

qu'il est passé sur la machine.

Extrayez la MFT :
La MFT se situe à la racine du disque dur. Pour y accéder, il suffit d’utiliser le logiciel FTK

Imager. La copie d’écran ci-dessous nous montre la MFT sur le disque monté.

Pour l’extraire, il suffit de sélectionner le fichier et de cliquer sur Export File

Li y a plus qu'à sélectionner l’emplacement où stocker le fichier.

NB :

Pensez à changer les paramètres d’affichage des fichiers cachés et systèmes.

Maintenant que nous avons extrait la MFT, il ne nous reste plus qu’à exploiter ses données.

Exploitez les données de la MFT

Commme mentionné, la MFT enregistre toutes les informations relatives à un fichier, y

compris sa taille, son nom, ses horodatages, ses autorisations et, dans certains cas, ses

données.

pour pouvoir exploiter et décoder la MFT, il est possible d’utiliser l’outil open source Mft2Csv qui

va convertir le contenu de la MFT en fichier CSV. Beaucoup plus simple pour lire les données
vous pouvez télécharger Mft2Csv ici. Lorsque vous lancez Mft2Csv, il faut ensuite spécifier le

fichier MFT en cliquant sur « Choose $MFT ».

NB :En fonction de la taille de votre MFT, ce processus peut durer un certain temps.

Le principal fichier qui nous intéresse est le fichier du type "MFT_date_.csv". C'est le

fichier qui va contenir toutes les entrées de la MFT, et c'est lui qui va nous permettre

d'identifier la création de fichiers sur le système par timestamp.

Une fois remis en forme, il vous sera possible de trier les données par date de

création, par exemple

nous pouvons identifier plusieurs choses :

1. Le fichier C:\Users\johnoc\AppData\Local\Temp\rad5163B.tmp.exe a été

créé sur le disque à 2019-07-31 12:45:47.4047080. Nous retrouvons

également la création de notre fichier VBS, quelques instant après la création

du premier exécutable détecté.

2. Si on remonte la timeline, on s'aperçoit que le fichier invoice.doc a

récemment été ouvert. _outlook

Résumé

Windows utilise le système de fichiers NTFS (New Technology File System) qui

permet d’organiser les données du disque.

Ce système utilise notamment la MFT (Master File Table), un élément crucial de

l’investigation numérique, car elle permet de retracer les évènements. C’est un

fichier système propre à NTFS. Il peut être extrait depuis chaque partition avec

l’outil FTK Imager.

Pour traiter les données de la MFT, l’outil Mft2Csv permet de décoder les données et

de générer un fichier CSV. Une fois les données extraites, une chronologie des

évènements qui ont eu lieu avant l'attaque pourra donc être réalisée.

Nous avons ici retrouvé la trace de notre fichier rad5163B.tmp.exe, ainsi que le

fichier VBS précédemment identifié dans le dump mémoire. Par ailleurs, en

remontant la chronologie, nous avons pu identifier que ce fichier proviendrait d'un

fichier invoice.doc, lui-même provenant d'un fichier invoice.zip téléchargé au moment

de la date présumée d'infection.

Enfin, nous savons que c'est un email malveillant qui a été reçu, et notre fichier zip

se trouve dans le répertoire temporaire Outlook

3. Ce fichier proviendrait d'un fichier invoice.zip stocké dans le répertoire

Download, mais aussi dans le répertoire temporaire Outlook

Glossaire :
/SICTime est
l'heure de
création du
fichier
d'horodatage.
(8 octets)
/SIATime est l'heure de modification du fichier d'horodatage. (8 octets)
/SIMTime est l'horodatage de l'heure de modification de l'entrée
MFT. (8 octets)
/SIRTime est l'horodatage de l'heure du dernier accès au fichier.
(8 octets