Windows forensics

Sécurité applicative
M2-SSI
2020 - 2021
Bases du forensic : notions
générales
Qu’est ce que le forecnsics

 L’investigation numérique ou forensic est la collection scientifique

de preuves de qualité suffisante qui peut être utilisée en justice
Types de forecnsics

 Physique
 Transfert
 Empreintes digitales
 ADN
 Numérique
 Réseau
 Stockage de données
 Petit équipement
 ordinateurs
Principes généraux

 Préserver l’intégrité de la preuve

 Maintenir une chaine de traçabilité
 Tout documenter
 L’écriture manuscrite est meilleure
 Travailler avec un partenaire est possible
 Suivre les pratiques standards
Phases de l’investigation

 Préservation des preuves

 Ne pas les altérées
 Recherche de preuves
 plus compliqué car les capacités de stockage ont augmenté
 Reconstruction des évènements
Réponse aux incidents

 D’abord il faut s’assurer qu'il y a eu un incident

 procéder ensuite à la préservation, à la recherche et à la
reconstruction des événements
 pourrait avoir besoin de faire une enquête préliminaire pour
déterminer s'il y a eu un incident
 pas fait tant que les rapports ne sont pas terminés
Processus
Bases du forensic : premier pas
 être préparé

 Disposé d’un kit de réponse ayant un ensemble complet d’outils

forensics
 Avoir les deux versions 32 et 64 bits
 Idéalement CDROM et USB
 Cet ensemble d’outils sera construit tout au long du cours
 Matériel
 Bloqueur d’écriture
 Support (images,…) idealement DD 3.0
 Laptop pour le forensic
 Bloc note, … pour la prise de note
Bloqueur d’ecriture (Write blockers)

 Un contrôleur de disque forensic ou un périphérique de bloc d'écriture

matériel est un type spécialisé de contrôleur de disque dur d'ordinateur
conçu dans le but d'obtenir un accès en lecture seule aux disques durs de
l'ordinateur sans risquer d'endommager le contenu du lecteur.
Station de travail forensic

 Il est recommandé d’avoir au moins 8GO de RAM

 Idéalement avec des ports USB 3.0
 Port réseau filaire disponible
 Distribution linux (64 bits)
 Distribution spécialisée tel que SIFT ou
 Ubuntu ou
 Votre distribution favorite

 La distribution SIFT est dispo sur le lien

 https://digital-forensics.sans.org/community/downloads
Démarrer une investigation
numérique
Processus
Y a-t-il eu un incident

 Ouvrir un dossier (case file)(N° d’affaire ou de dossier)

 Parler aux utilisateur
 Pourquoi ils vous ont appelé ?
 pourquoi pensent-ils qu'il y a un problème?
 ce que l'on sait du système de victimes potentielles
 Utilisation normale
 Origines
 Réparations récentes