Images Disques

Analyse des données

Après l’acquisition et l’authentification des données

L’analyse des Données

On peut soit analyser nos images en « live » en les montant grâce aux périphériques loop. soit
utiliser des outils spécialisés pour « carver » directement nos images…
Nous allons pour ça, utiliser des images du site https://dftt.sourceforge.net/
Nous allons également créer un répertoires « cases » dans lequel nous créerons autant de sous-
répertoires que d’enquêtes…

Basing Data Carving

Nous allons commencer par l’image 11.Basic Data Carving Test #1 dont nous extrairons le zip
dans notre répertoire »cases ».
cd cases/11-carve-fat/
Allons voir le README.txt…
Et profitons-en pour examiner notre image, la première chose étant de vérifier son md5sum et de
commencer une chaîne de traçabilité, avec des commentaires (date, personne) :
md5sum 11-carve-fat.dd >> custodyChain
file 11-carve-fat.dd
???
Essayons de la monter :
sudo losetup -Pf 11-carve-fat.dd
sudo lsblk
sudo mkdir /tmp/11-carve-fat
sudo mount /dev/loop0 /tmp/11-carve-fat/
Echec !
Nous allons devoir récupérer ce qu’on peut de l’image elle-même…

Scalpel
Basé sur Foremost, un autre logiciel de récupération…
La configuration se fait dans /etc/scalpel/scalpel.conf
On va ici dé-commenter les extensions qui nous intéressent (il nous en manque…)
Et on lance maintenant la commande :
scalpel -O 11-carve-fat.dd -o scalpel
N.B. Si on ne précise pas le répertoire de sortie (-o), un répertoire scalpel_output est créé dans le
répertoire courant. L’option -O dit à scalpel de ne pas créer un sous-répertoire par extension...
On va calculer le md5sum des fichiers trouvés pour éliminer les potentiels doublons :
ls scalpel/* | xargs md5sum|sort
sort scalpel/md5sum.txt
Passons à une autre application pour multiplier nos chances…

MagicRescue
ls /usr/share/magicrescue/recipes/
On peut utiliser un seul fichier ou le répertoire (plus long)…
magicrescue -r /usr/share/magicrescue/recipes/ 11-carve-fat.dd -d magicrescue
N.B. Il nous faut créer au préalable le répertoire magicrescue…
On trouve ici beaucoup moins de fichiers mais un fichier ppt et un fichier xls...
Ici aussi, on calcule le md5sum des fichiers trouvés :
ls magicrescue/* | xargs md5sum |sort

Testdisk
Testdisk va nous permettre de réparer notre image (si c’est possible) et de récupérer les différents
fichiers qu’il y trouve… Pour cela nous allons créer un répertoire que nous appellerons testdisk, de
la même façon que nous l’avons fait pour scalpel et magicrescue.

testdisk 11-carve-fat.dd
Nous procédons en choisissant None comme table de partition (malgré l’avertissement de testdisk)
et FAT32 comme type de partition (suivant les renseignements que nous avons). Nous choisissons
ensuite Rebuild BS (Boot Sector) et ensuite Write.
Nous revenons à la sélection des disques, nous choisissons Boot et ensuite List.
Nous voyons une liste de fichiers que nous pouvons maintenant tous sélectionner pour les copier
dans notre répertoire…

Après avoir quitté testdisk, vérifions son travail :

file 11-carve-fat.dd

Malgré la présence d’un MBR, il semble s’agir d’une partition !!!

Vérifions avec losetup :

sudo losetup -Pf 11-carve-fat.dd

sudo lsblk
En effet !

Par contre, vérifions le md5sum de l’image. Il a changé. Il nous faut donc l’inscrire dans notre
chaîne de traçabilité avec les commentaires adéquats…
md5sum 11-carve-fat.dd >> custodyChain

Autopsy
Autopsy est une interface graphique web pour les outils d’investigation numérique en ligne de
commande du Sleuth Kit (sleuth : détective). Ensemble, le Sleuth Kit et Autopsy offrent bon
nombre des mêmes fonctionnalités que les outils commerciaux d'investigation numérique pour
l'analyse des systèmes de fichiers Windows et UNIX (NTFS, FAT, FFS, EXT2FS et EXT3FS).

sudo autopsy
Nous nous connectons avec firefox sur localhost:9999/autopsy
Nous ouvrons une nouvelle enquête (case) :
Case name : 11-carve-fat
Description : Basic Data Carving Test #1
Investigator Names :
a. Alice
b. Bob
On rajoute une New Host :
Host name : host1
Description : dftt.sourceforge.net
On rajoute notre image :
Location : son chemin complet
Type : partition
Import method : symlink
On indique notre hash pour la vérification après l’import
On valide.
Maintenant qu’on a notre image :
→ Analyse…
Parcourez le menu…Finissez par File Type
→ Sort Files by Type
Cochez : Save a copy of files in category directory
→ View Sorted Files
Copiez le lien : /var/lib/autopsy/11-carve-fat/host1/output/sorter-vol1/index.html dans un
nouvel onglet…
Vos fichiers se retrouvent dans : /var/lib/autopsy/11-carve-fat/host1/output/sorter-vol1/
Pour finir : revenez à la sélection de l’image en fermant : close [X]
Choisissez : File activity timelines → Create Data file
Cochez votre image
Pour la start date, vu la date du test, mettez 01/01/2003 et pour la end date 31/12/2005...
Visualisez…

Résumé :
Scalpel et MagicRescue restent les seuls utilisables si les images sont corrompues et ne peuvent
pas être montées. Récupère les fichiers d’après leur nombre magique…
Testdisk peut permettre si les dommages ne sont pas trop conséquents de réparer une image disque
et de récupérer les fichiers, dont ceux effacés, du disque…
Autopsy permet de récupérer les fichiers, dont ceux effacés du disque… Et de retracer l’activité du
disque (timeline).

Exercice : Ouvrir une nouvelle enquête pour l’image 12.Basic Data Carving Test #2

NTFS
Dans les systèmes de fichiers NTFS sous Windows, les métadonnées sont stockées dans les
enregistrements de la MFT (Master File Table), qui est l'analogue de la table des inodes sous
Linux.

Nous allons commencer par créer avec dd un périphérique bloc avec une partition ntfs.

dd if=/dev/zero of=monimage.dd bs=1024 count=100000

fdisk monimage.dd # type 07 : HPFS-NTFS
sudo losetup -Pf monimage.dd
sudo mkfs.ntfs /dev/loop0p1
mkdir monimage
sudo mount /dev/loop0p1 monimage
Ici, on copie des fichiers de notre répertoire personnel dans notre répertoire monimage…
Puis on en supprime un ou deux…
sudo umount mon image
rmdir monimage
On va maintenant créer une nouvelle enquête dans notre répertoire cases…
mkdir cases/ntfs
cp monimage.dd cases/ntfs
cd cases/ntfs

Scrounge-ntfs
mkdir scrounge-ntfs
scrounge-ntfs -h
scrounge-ntfs -l monimage.dd
Start Sector End Sector Cluster Size MFT Offset

==================================================================

Drive: monimage.dd

2048 197952 8 32

scrounge-ntfs -m 32 -c 8 -o scroungs-ntfs/ ~/Bureau/cases/ntfs/monimage.dd 2048 197952.

ls scrounge-ntfs
N.B. Les fichiers supprimés n’ont pas été récupérés.

Testdisk
mkdir testdisk
testdisk monimage.dd
Nous procédons en choisissant Intel comme table de partition → Analyse → Quick Search → P :
List files
Et on copie tous les fichiers dans notre répertoire testdisk.
Il nous faut maintenant retrouver les fichiers supprimés…
q pour revenir au menu principal → Advanced → Undelete
On peut maintenant récupérer nos fichiers supprimés...

Autopsy
Nous procédons ici comme précédemment.

Shred
La commande shred permet de récrire sur les fichiers indiqués, de façon répétée, afin de rendre
difficile toute récupération des données…
Essayez sur un fichier de votre disque monimage.dd :
D’abord sans l’effacer pour observer le résultat :
shred fichier
Ensuite, en ajoutant une réécriture finale avec des zéros pour camoufler le déchiquetage du fichier
shred -z fichier
Ensuite en le supprimant (unlink) :
shred -u -z fichier
Essayez de le récupérer…
Vous pouvez également « effacer » tout un disque :
shred -z /dev/periphérique…
Après avoir monté votre disque sur loop0
sudo shred -z /dev/loop0p1
Essayez de récupérer des données...

Bulk Extractor
Bulk_extractor fonctionne sur des images disque (block ou dump mémoire), des fichiers réguliers
ou des répertoires, et extrait des informations complètes, telles qu’adresses mail, urls, numéros de
carte bancaire, de téléphone, etc. Et créé des histogrammes en fonction des occurrences pour les
données les plus significatives

Exemple sur notre répertoire personnel :

mkdir /mnt/bulk_home
bulk_extractor -R /home -o /mnt/bulk_home
ls /mnt/bulk_home

Forensics-samples
Il existe un package d’images disques pour tester vos aptitudes forensics :
apt install forensics-samples-all
Les images sont dans /usr/share/forensics-samples/
Par contre, les images sont compressées au format xz. Pour les décompresser :
Par exemple :
cp /usr/share/forensics-samples/fs.ext4.xz .
xz -d fs.ext4.xz
file fs.ext4