Académique Documents
Professionnel Documents
Culture Documents
4 Analyse
4 Analyse
Scalpel
Basé sur Foremost, un autre logiciel de récupération…
La configuration se fait dans /etc/scalpel/scalpel.conf
On va ici dé-commenter les extensions qui nous intéressent (il nous en manque…)
Et on lance maintenant la commande :
scalpel -O 11-carve-fat.dd -o scalpel
N.B. Si on ne précise pas le répertoire de sortie (-o), un répertoire scalpel_output est créé dans le
répertoire courant. L’option -O dit à scalpel de ne pas créer un sous-répertoire par extension...
On va calculer le md5sum des fichiers trouvés pour éliminer les potentiels doublons :
ls scalpel/* | xargs md5sum|sort
sort scalpel/md5sum.txt
Passons à une autre application pour multiplier nos chances…
MagicRescue
ls /usr/share/magicrescue/recipes/
On peut utiliser un seul fichier ou le répertoire (plus long)…
magicrescue -r /usr/share/magicrescue/recipes/ 11-carve-fat.dd -d magicrescue
N.B. Il nous faut créer au préalable le répertoire magicrescue…
On trouve ici beaucoup moins de fichiers mais un fichier ppt et un fichier xls...
Ici aussi, on calcule le md5sum des fichiers trouvés :
ls magicrescue/* | xargs md5sum |sort
Testdisk
Testdisk va nous permettre de réparer notre image (si c’est possible) et de récupérer les différents
fichiers qu’il y trouve… Pour cela nous allons créer un répertoire que nous appellerons testdisk, de
la même façon que nous l’avons fait pour scalpel et magicrescue.
testdisk 11-carve-fat.dd
Nous procédons en choisissant None comme table de partition (malgré l’avertissement de testdisk)
et FAT32 comme type de partition (suivant les renseignements que nous avons). Nous choisissons
ensuite Rebuild BS (Boot Sector) et ensuite Write.
Nous revenons à la sélection des disques, nous choisissons Boot et ensuite List.
Nous voyons une liste de fichiers que nous pouvons maintenant tous sélectionner pour les copier
dans notre répertoire…
Par contre, vérifions le md5sum de l’image. Il a changé. Il nous faut donc l’inscrire dans notre
chaîne de traçabilité avec les commentaires adéquats…
md5sum 11-carve-fat.dd >> custodyChain
Autopsy
Autopsy est une interface graphique web pour les outils d’investigation numérique en ligne de
commande du Sleuth Kit (sleuth : détective). Ensemble, le Sleuth Kit et Autopsy offrent bon
nombre des mêmes fonctionnalités que les outils commerciaux d'investigation numérique pour
l'analyse des systèmes de fichiers Windows et UNIX (NTFS, FAT, FFS, EXT2FS et EXT3FS).
sudo autopsy
Nous nous connectons avec firefox sur localhost:9999/autopsy
Nous ouvrons une nouvelle enquête (case) :
Case name : 11-carve-fat
Description : Basic Data Carving Test #1
Investigator Names :
a. Alice
b. Bob
On rajoute une New Host :
Host name : host1
Description : dftt.sourceforge.net
On rajoute notre image :
Location : son chemin complet
Type : partition
Import method : symlink
On indique notre hash pour la vérification après l’import
On valide.
Maintenant qu’on a notre image :
→ Analyse…
Parcourez le menu…Finissez par File Type
→ Sort Files by Type
Cochez : Save a copy of files in category directory
→ View Sorted Files
Copiez le lien : /var/lib/autopsy/11-carve-fat/host1/output/sorter-vol1/index.html dans un
nouvel onglet…
Vos fichiers se retrouvent dans : /var/lib/autopsy/11-carve-fat/host1/output/sorter-vol1/
Pour finir : revenez à la sélection de l’image en fermant : close [X]
Choisissez : File activity timelines → Create Data file
Cochez votre image
Pour la start date, vu la date du test, mettez 01/01/2003 et pour la end date 31/12/2005...
Visualisez…
Résumé :
Scalpel et MagicRescue restent les seuls utilisables si les images sont corrompues et ne peuvent
pas être montées. Récupère les fichiers d’après leur nombre magique…
Testdisk peut permettre si les dommages ne sont pas trop conséquents de réparer une image disque
et de récupérer les fichiers, dont ceux effacés, du disque…
Autopsy permet de récupérer les fichiers, dont ceux effacés du disque… Et de retracer l’activité du
disque (timeline).
Exercice : Ouvrir une nouvelle enquête pour l’image 12.Basic Data Carving Test #2
NTFS
Dans les systèmes de fichiers NTFS sous Windows, les métadonnées sont stockées dans les
enregistrements de la MFT (Master File Table), qui est l'analogue de la table des inodes sous
Linux.
Nous allons commencer par créer avec dd un périphérique bloc avec une partition ntfs.
Scrounge-ntfs
mkdir scrounge-ntfs
scrounge-ntfs -h
scrounge-ntfs -l monimage.dd
Start Sector End Sector Cluster Size MFT Offset
==================================================================
Drive: monimage.dd
2048 197952 8 32
Testdisk
mkdir testdisk
testdisk monimage.dd
Nous procédons en choisissant Intel comme table de partition → Analyse → Quick Search → P :
List files
Et on copie tous les fichiers dans notre répertoire testdisk.
Il nous faut maintenant retrouver les fichiers supprimés…
q pour revenir au menu principal → Advanced → Undelete
On peut maintenant récupérer nos fichiers supprimés...
Autopsy
Nous procédons ici comme précédemment.
Shred
La commande shred permet de récrire sur les fichiers indiqués, de façon répétée, afin de rendre
difficile toute récupération des données…
Essayez sur un fichier de votre disque monimage.dd :
D’abord sans l’effacer pour observer le résultat :
shred fichier
Ensuite, en ajoutant une réécriture finale avec des zéros pour camoufler le déchiquetage du fichier
shred -z fichier
Ensuite en le supprimant (unlink) :
shred -u -z fichier
Essayez de le récupérer…
Vous pouvez également « effacer » tout un disque :
shred -z /dev/periphérique…
Après avoir monté votre disque sur loop0
sudo shred -z /dev/loop0p1
Essayez de récupérer des données...
Bulk Extractor
Bulk_extractor fonctionne sur des images disque (block ou dump mémoire), des fichiers réguliers
ou des répertoires, et extrait des informations complètes, telles qu’adresses mail, urls, numéros de
carte bancaire, de téléphone, etc. Et créé des histogrammes en fonction des occurrences pour les
données les plus significatives
mkdir /mnt/bulk_home
bulk_extractor -R /home -o /mnt/bulk_home
ls /mnt/bulk_home
Forensics-samples
Il existe un package d’images disques pour tester vos aptitudes forensics :
apt install forensics-samples-all
Les images sont dans /usr/share/forensics-samples/
Par contre, les images sont compressées au format xz. Pour les décompresser :
Par exemple :
cp /usr/share/forensics-samples/fs.ext4.xz .
xz -d fs.ext4.xz
file fs.ext4