Table des matières

Forensic : ............................................................................................................................................... 2
extraire des données volatiles (manuellement) ........................................................................ 2
Table des matières .................................................................................................................... 2
Qu'est-ce que les données volatiles ? ................................................................................... 2
Informations système ................................................................................................................ 2
Connexions réseau actuellement disponibles..................................................................... 4
Configuration du routage........................................................................................................ 6
Date et l'heure ............................................................................................................................ 8
Variables système ...................................................................................................................... 9
Liste de tâches.......................................................................................................................... 10
Liste des tâches avec modules ............................................................................................. 12
Liste de tâches avec services................................................................................................ 14
Informations sur le poste de travail ................................................................................... 15
Adresse MAC enregistrée dans le cache ARP du système ........................................... 16
Détails de l'utilisateur du système ...................................................................................... 17
Configuration DNS .................................................................................................................. 18
Partages réseau du système ................................................................................................. 20
Configuration du réseau ........................................................................................................ 21
Forensic :

extraire des données volatiles (manuellement)

Dans cet article, nous allons exécuter quelques commandes CLI qui aident un enquêteur
médico-légal à collecter autant que possible des données volatiles du système. Les
commandes que nous utilisons dans cet article ne sont pas la liste complète des
commandes, mais elles sont le plus souvent utilisées une fois.
Selon l'enquêteur médico-légal, créez un dossier sur le nom de bureau "case" et créez à
l'intérieur un autre sous-dossier nommé "case01", puis utilisez un document vide
"volatile.txt" pour enregistrer la sortie que vous allez extraire.
Ici, j'ai enregistré toutes les sorties dans /SKS19/prac/notes.txt qui nous aident à créer
un rapport d'enquête.
Table des matières
• Qu'est-ce que les données volatiles ?
• Informations système
• Connexions réseau actuellement disponibles
• Configuration du routage
• Date et l'heure
• Variables système
• Liste de tâches
• Liste des tâches avec modules
• Liste des tâches avec service
• Informations sur le poste de travail
• Adresse MAC enregistrée dans le cache ARP du système
• Détails de l'utilisateur du système
• Paramétrage DNS
• Partages réseau du système
• Configuration du réseau
Qu'est-ce que les données volatiles ?
Il existe deux types de données collectées dans Computer Forensics Les données
persistantes et les données volatiles. Les données persistantes sont les données qui sont
stockées sur un disque dur local et qui sont conservées lorsque l'ordinateur est
éteint. Les données volatiles sont tout type de données stockées en mémoire, qui seront
perdues lors de l'alimentation ou de l'arrêt de l'ordinateur.
Les données volatiles résident dans le cache et la mémoire vive (RAM) du registre. Cette
enquête sur les données volatiles est appelée "live forensics".
Informations système
Il s'agit d'un profileur de système inclus avec Microsoft Windows qui affiche des
informations de diagnostic et de dépannage relatives au système d'exploitation, au
matériel et aux logiciels.
Nous pouvons collecter ces données volatiles à l'aide de commandes. Tout ce dont nous
avons besoin est de taper cette commande.
informations système >> notes.txt

Il enregistrera toutes les données dans ce fichier texte. Nous vérifions si ce fichier est
créé ou non par la commande [ dir ] pour comparer la taille du fichier à chaque fois
après l'exécution de chaque commande.

Maintenant, allez à cet emplacement pour voir les résultats de cette commande. Où il
affichera toutes les informations système sur nos logiciels et matériels système.
Connexions réseau actuellement disponibles
La connectivité réseau décrit le processus étendu de connexion des différentes parties
d'un réseau. Avec l'aide de routeurs, de commutateurs et de passerelles.
Nous pouvons vérifier toutes les connexions réseau actuellement disponibles via la
ligne de commande.
netstat -nao >> notes.txt

nous pouvons vérifier s'il est créé ou non à l'aide de la commande [dir] comme vous
pouvez le voir, maintenant la taille du get a augmenté.
Maintenant, ouvrez ce fichier texte pour voir toutes les connexions actives dans le
système en ce moment. Il nous fournira également des détails supplémentaires comme
l'état, le PID, l'adresse, le protocole.
Configuration du routage
Il spécifie les adresses IP et les paramètres de routeur corrects. Configuration de l'hôte :
configure une connexion réseau sur un ordinateur hôte ou un ordinateur portable en
enregistrant les paramètres réseau par défaut, tels que l'adresse IP, le proxy, le nom du
réseau et l'ID/mot de passe.
Pour connaître la configuration du routeur dans notre réseau, suivez cette commande.
itinéraire impression >> notes.txt

Nous pouvons vérifier le fichier avec la commande [dir].

Ouvrez le fichier txt pour évaluer les résultats de cette commande. Comme la table du
routeur et ses paramètres.
Date et l'heure
Pour connaître la date et l'heure du système, nous pouvons suivre cette
commande. Nous pouvons également vérifier que le fichier est créé ou non à l'aide de la
commande [dir].
echo %date% %heure% > notes.txt
directeur

Ouvrez ce fichier pour voir les données recueillies avec la commande.

Variables système
Une variable système est une valeur nommée dynamique qui peut affecter la façon dont
les processus en cours d'exécution se comporteront sur l'ordinateur. Ils font partie du
système dans lequel les processus s'exécutent. Par exemple, un processus en cours
d'exécution peut interroger la valeur de la variable d'environnement TEMP pour
découvrir un emplacement approprié pour stocker les fichiers temporaires.
Nous pouvons vérifier toutes les variables système définies dans un système avec une
seule commande.
définir >> notes.txt

Nous pouvons vérifier si le fichier est créé ou non avec la commande [dir].
directeur
Maintenant, ouvrez le fichier texte pour voir les variables système définies dans le
système.

Liste de tâches
Une liste de tâches est un menu qui apparaît dans Microsoft Windows, il fournira une
liste des applications en cours d'exécution dans le système. Pour obtenir la liste des
tâches du système avec son identifiant de processus et son utilisation de la mémoire,
suivez cette commande.
liste des tâches >> notes.txt

nous pouvons également vérifier si le fichier texte est créé ou non avec la commande
[dir].

Ouvrez le fichier texte pour évaluer les détails.

Liste des tâches avec modules
Avec l'aide des modules de liste de tâches, nous pouvons voir le fonctionnement des
modules en termes de tâche particulière. Nous pouvons voir les résultats de notre
enquête à l'aide de la commande suivante.
liste des tâches /m >> notes.txt
nous pouvons vérifier si notre fichier de résultats est créé ou non à l'aide de la
commande [dir].
Ouvrez le fichier texte pour évaluer les résultats de la commande.
Liste de tâches avec services
Il présentera tous les services pris par une tâche particulière pour opérer son
action. Nous obtenons ces résultats dans notre rapport médico-légal en utilisant cette
commande.
liste des tâches /svc >> notes.txt

nous vérifions si le fichier texte est créé ou non avec la commande help [dir].

Ouvrez ce fichier texte pour évaluer les résultats. Il présentera les services utilisés par
chaque tâche.
Informations sur le poste de travail
Un poste de travail est connu comme un ordinateur spécial conçu pour des applications
techniques ou scientifiques destiné principalement à être utilisé par une personne à la
fois. Ils sont généralement connectés à un réseau local et exécutent des systèmes
d'exploitation multi-utilisateurs. Suivez ces commandes pour obtenir les détails de
notre poste de travail.
poste de travail net config >> notes.txt

pour vérifier si le fichier est créé ou non, utilisez la commande [dir].

Maintenant, ouvrez le fichier texte pour voir les résultats de l'enquête.

Adresse MAC enregistrée dans le cache ARP du

système
Il existe deux types d'entrées ARP : statiques et dynamiques. La plupart du temps, nous
utiliserons les entrées ARP dynamiques. Cela signifie que les entrées ARP sont
conservées sur un appareil pendant un certain temps, tant qu'il est utilisé.
À l'opposé d'une dynamique, si l'entrée ARP est l'entrée statique, nous devons entrer un
lien manuel entre l'adresse MAC Ethernet et l'adresse IP. À cause des maux de tête de la
direction et du manque de points négatifs importants. Nous utilisons dynamique la
plupart du temps. Pour obtenir ces détails dans l'enquête, suivez cette commande.
arp -a >> notes.txt

nous pouvons savoir si le fichier texte est créé ou non avec la commande [dir].
Maintenant, ouvrez le fichier texte pour voir le rapport d'enquête.

Détails de l'utilisateur du système

Un utilisateur est une personne qui utilise un ordinateur ou un service réseau. Les
utilisateurs de systèmes informatiques et de produits logiciels n'ont généralement pas
l'expertise technique nécessaire pour bien comprendre leur fonctionnement. Pour
obtenir les détails de cet utilisateur, suivez cette commande.
utilisateur net %nom d'utilisateur% >> notes.txt

nous pouvons utiliser la commande [dir] pour vérifier que le fichier est créé ou non.

Maintenant, ouvrez un fichier texte pour voir le rapport d'enquête.

Configuration DNS
DNS est le système Internet permettant de convertir les noms alphabétiques en adresse
IP numérique. Lorsqu'une adresse Web est saisie dans le navigateur, les serveurs DNS
renvoient l'adresse IP du serveur Web associé à ce nom. Pour connaître la configuration
DNS du système, suivez cette commande.
ipconfig /displaydns >> notes.txt

nous pouvons voir que le rapport texte est créé ou non avec la commande [dir].

Ouvrez maintenant le fichier texte pour voir le rapport texte.

Partages réseau du système
Un réseau partagé signifierait une connexion Wi-Fi ou LAN commune. La même chose
est possible pour un autre dossier sur le système. En activant le partage réseau et en
autorisant certains droits ou des droits restreints, ces dossiers peuvent être consultés
par d'autres utilisateurs/ordinateurs sur les mêmes services réseau. Nous pouvons voir
ces détails en suivant cette commande.
partage net >> notes.txt
nous pouvons également vérifier le fichier qu'il est créé ou non avec la commande [dir].

Maintenant, ouvrez ce fichier texte pour voir le rapport d'enquête.

Configuration du réseau
La configuration du réseau est le processus de définition des commandes, du flux et du
fonctionnement d'un réseau pour prendre en charge la communication réseau d'une
organisation et/ou du propriétaire du réseau. Ce terme intègre les multiples
configurations et intensifie les processus sur le matériel réseau, les logiciels et autres
périphériques et composants de support. Pour obtenir les détails du réseau, suivez ces
commandes.
ipconfig /all >> notes.txt

Comme d'habitude, nous pouvons vérifier que le fichier est créé ou non avec les
commandes [dir].
Maintenant, ouvrez le fichier texte pour voir le rapport d'enquête.
Comme nous l'avons dit plus tôt, il s'agit de l'une des rares commandes couramment
utilisées. Il reste beaucoup de commandes dans l'arsenal de l'enquêteur médico-légal.