Il existe un certain nombre d'outils forensiques permettant de mener une enquête dans les règles de l'art. Les principaux atouts de ces outils sont de faciliter la certification de l'authenticité de preuves récoltées (Chain-of-Custody) et de mettre à disposition des moteurs de recherche de motifs (pattern-matching) pour un grand nombre de formats de fichiers et de méta-données. Les plus connus sont Guidance Software de la société EnCase, NetAnalysis de Paraben, Ultimate Toolkit d'AccessData et enfin la suite ProDiscover de Technology Pathways.
HELIX constitue une alternative Open Source à ces outils.
Draw Fahey, de la société e-fense, a créé et maintient la distribution Linux Live HELIX, qui est bâtie sur la célèbre distribution Knoppix. HELIX est disponible sur le site de la société e-fense. Cette distribution contient un très grand nombre d'outils forensiques et d'outils de restautation système. HELIX est particulièrement utile lors de la collecte et l'analyse de preuves numériques sur un système en fonctionnement (live forensics) ou hors tension (dead forensics).
Comme HELIX provient de Knoppix, elle permet nativement d'analyser les systèmes de fichiers Linux comme Ext2/Ext3, et même des systèmes plus exotiques comme ReiserFS, JFS et XFS. Par contre, ce qui la différencie des autres distributions est qu'elle a été conçue pour préserver le contenu des disques durs et des partitions du système qu'elle examine.
En effet, un des problèmes récurrents, que j'ai rencontré avec les cédéroms de type Linux live, est qu'ils montent par défaut des partitions d'échange (swap) sur le disque dur au démarrage. Cela entraine un écrasement potentiel de preuves et une modification inacceptable (du point de vue forensique) d'une partie non négligeable du disque dur (la taille de la partition d'échange est fixée par défaut à celle de la mémoire physique du système).
HELIX monte les partitions du système en lecture seul et n'utilise aucune partition d'échange. Cette configuration préserve les données, leurs timbres-dates (MAC : Modified, Accessed, Changed/Created) et les méta-données du système. L'un des grands avantages techniques est que l'examinateur n'est plus obligé de recourir à un équipement de blocage en écriture, souvent problématique lors de l'examen d'un serveur monté en rack dans une baie technique...
HELIX possède également une partie dédiée au systèmes MS Windows. Elle contient des binaires et des exécutables permettant de recueillir des données volatiles, comme la mémoire physique par exemple...
La majorité des outils d'HELIX est Open Source. Ils peuvent être lancés à partir de la ligne de commandes d'un shell Linux (session X), à partir d'un environnement Cygwin ou à partir de l'interface graphique de sa partie MS Windows.
Le seul point noir que je lui concède est que je ne connaisse pas d'affaire judiciaire dans laquelle cet outil, assez récent, ai été utilisé.
HELIX constitue une alternative Open Source à ces outils.
Draw Fahey, de la société e-fense, a créé et maintient la distribution Linux Live HELIX, qui est bâtie sur la célèbre distribution Knoppix. HELIX est disponible sur le site de la société e-fense. Cette distribution contient un très grand nombre d'outils forensiques et d'outils de restautation système. HELIX est particulièrement utile lors de la collecte et l'analyse de preuves numériques sur un système en fonctionnement (live forensics) ou hors tension (dead forensics).
Comme HELIX provient de Knoppix, elle permet nativement d'analyser les systèmes de fichiers Linux comme Ext2/Ext3, et même des systèmes plus exotiques comme ReiserFS, JFS et XFS. Par contre, ce qui la différencie des autres distributions est qu'elle a été conçue pour préserver le contenu des disques durs et des partitions du système qu'elle examine.
En effet, un des problèmes récurrents, que j'ai rencontré avec les cédéroms de type Linux live, est qu'ils montent par défaut des partitions d'échange (swap) sur le disque dur au démarrage. Cela entraine un écrasement potentiel de preuves et une modification inacceptable (du point de vue forensique) d'une partie non négligeable du disque dur (la taille de la partition d'échange est fixée par défaut à celle de la mémoire physique du système).
HELIX monte les partitions du système en lecture seul et n'utilise aucune partition d'échange. Cette configuration préserve les données, leurs timbres-dates (MAC : Modified, Accessed, Changed/Created) et les méta-données du système. L'un des grands avantages techniques est que l'examinateur n'est plus obligé de recourir à un équipement de blocage en écriture, souvent problématique lors de l'examen d'un serveur monté en rack dans une baie technique...
HELIX possède également une partie dédiée au systèmes MS Windows. Elle contient des binaires et des exécutables permettant de recueillir des données volatiles, comme la mémoire physique par exemple...
La majorité des outils d'HELIX est Open Source. Ils peuvent être lancés à partir de la ligne de commandes d'un shell Linux (session X), à partir d'un environnement Cygwin ou à partir de l'interface graphique de sa partie MS Windows.
Le seul point noir que je lui concède est que je ne connaisse pas d'affaire judiciaire dans laquelle cet outil, assez récent, ai été utilisé.
Articles
Il est aussi possible de l'obtenir avec ProcessExplorer de Sysinternals, enfin de Microsoft maintenant :-(
RépondreSupprimerEuh, tu veux peut-être parler de la liste arborescente des processus ?? C'est l'objet de l'article suivant !
RépondreSupprimerévidement :-)
RépondreSupprimerléger pb de cliquage ...
Remaque : C'est le genre d'erreur a ne pas faire en IR :-) bien vérifier ce que l'on doit faire et le faire bien.
Sinon, oui mon pseudo est bien un mot de passe :-) c'est juste la vieille habitude de faire 'pwgen 12 1'
J'adore aussi pwgen et ai réussi (à l'arrache) à l'imposer dans nos procédures.
RépondreSupprimerIl arrive toujours un moment où on en a marre de trouver des mots de passe pour les cessions cryptcat, et j'ai remarqué que certains dans mon équipe prenaient toujours le même mot de passe super_facile_à_taper...
Il y aurait peut être des clients sur Astalavista pour des rainbow-tables pour pwgen ;-) Je dois encore avoir un vieux calculateur avec 11 giga de RAM qui traine quelque-part...
Lorsque l'on crée l'image de la mémoire physique on obtient un .dd, on analyse celà comment après ? Merci
RépondreSupprimerEn fait, Alf, il s'agit du thème principal de ce Blog.
RépondreSupprimerIl n'existe pas aujourd'hui d'outil suffisamment au point pour analyser facilement cette mémoire physique.
Une fois cet outil développé, je n'aurais plus qu'à ouvrir un autre blog :-)