Consulting, services, computer engineering. Implementation of technology solutions and support for businesses.

User Rating: 5 / 5

Star ActiveStar ActiveStar ActiveStar ActiveStar Active
 

  

Analyse forensique d'un système informatique Windows avec Autopsy, modules ingest 

 

But : analyser les données de la data source dans le projet case
Les modules ingest
Les fichiers à regarder en priorité
Les filtres ingest

 

Que sont les modules ingest ?

Plug-ins qui permettent d’analyser les données du disque.
-hashs
-recherches par mots cléfs
-activités web
-analyse du registre
-Identification des foramts de fichiers…
-Comparaison des extensions…

 

Une question? Posez-la ici

Besoin d'aide sur Autopsy?

Analyse forensique d'un système informatique Windows avec Autopsy, 2 types de modules ingest

 

 

Les vues

Organisé par type de données : images, documents, executables
Organisation possible par signature MIME type
Pratique si on ne cherche que les videos par exemple, ou les images.
Par taille : on voit de suite les plus gros volumes.


Les résultats

Résultats des requêtes des modules ingest
Pratique pour voir d’un coup d’œil les programmes sinstallés, les cookies, les téléchargements, l’historique web, les recherches web.

 

2 types d’ingest modules : agissant sur les fichiers, ou agissant sur le data source

 

Sur les fichiers :

-calcul des hashs
-rescherche des hashs
-extraction des données EXIF
-ajout de texte à l’index…

Sont généralement lancés sur tous les fichiers

 

Sur la data source :

Ne fonctionnent pas sur les fichiers classiques, mais sur des fichiers très spécifiques

Module « Analyse du navigateur internet »

Module « Analyse du registre »

 

Analyse forensique d'un système informatique Windows avec Autopsy, fichiers prioritaires

 

Le manager Ingest fonctionne en arrière plan et choisit quels fichiers sont à analyser en premier

La priorité est donnée aux :
-répertoires utilisateurs
-Program files et dossiers racine windows
-Dossier windows
-Espace non alloué

Si une 2eme image est intégrée, les 2 images seront traitées en parallèle
La 2eme image pourrait être analysée en priorité, car plus fraiche

Le scan des fichiers trie ceux qui sont importants et ceux qui le sont moins.

 

Les. modules ingest niveau data source sont lancés sur la data source entiere

Requetes sur la base de donnée ou une série de fichiers
Analyse d’un ensemble de fichiers
Affichage des resultats sur le tableau backlog

 

Analyse forensique d'un système informatique Windows avec Autopsy,  lancement des modules Ingest

 

Depuis l’assistant, + vert, add data sources

Ensuite, quand on a une data source, bouton droit sur la data source, et « Run ingest Modules »

 

Analyse forensique d un système Windows avec Autopsy ingest modules

 

Une question? Posez-la ici

Besoin d'aide sur Autopsy?

Configuration des modules ingest

 

Chaque module ingest permet d’etre configuré par son panneau

Tools/options

 

Espace non alloué

 

On peut choisir d’analyser l’espace non alloué ou pas, au choix :

-all files, directories, and unallocated space

-all files, directories

 

Filtres sur les modules ingests

 

On peut choisir d’analyser que les .jpg et .png par exemple, ou les fichiers dans le repertoire Bureau…

 

Les modules ingest « officiels »

 

Autopsy est libré avec des modules de base :

-recherche de hashs

-recherche de mots clé

-extraction de fichiers

-activité récente

-emails

 

Artifact Blackboard / tableau des données acquises

 

Les ingest modules vont sauvegarder leurs résultats sur le « Blackboard artifacts » , tableau des donnéest acquises/indices/preuves

Par exemple :

-Les bookmarks favoris web

-Le hashs trouvés

-Si un chiffrement est detecté

Autopsy est livré avec des modules de bases, mais on peut étendre les fonctionnalités.

Un artefact est une donnée acquise par l’utilisation d’outils

 

Attributs des artifact Blackboard / attributs des données sur le tableau

 

Chaque donnée articadt (indice/preuves) apparait sur le tableau, avec des attributs.

Blackboard artifact = type,value

Par exemple, la donnée Web bookmark (favoris) a comme attributs une url, une date

On ajoute comme favoris une URL, à une certaine date

ARTICACT=TYPEA (EATTRIBUT1+ATTRIBUT2+…+AttributN) + TYPE2(EATTRIBUT1+ATTRIBUT2+…+AttributN)…

FAVORIS=URL+DATE

Les modules ingest choisissent quels attributs ils ajoutent à l’artefact donnée.

 

Visualiser les données (Artefacts) trouvées

 

Dans résultats, « extracted content » ou dans le « content viewer » ou dans les reports

 

Analyse forensique d un système Windows avec Autopsy visualiser les donnees trouvees

Module de recherche de hashs

 

On va configurer le module recherche de hashs

Que fait-il ?

Calcul des hashs MD5 des fichiers
Enregistre le hash dans la base de donnée du projet cas
Recherche de ce hash dans d’autres endroits
Marque les hashs :
-connus (NSRL) bon ou mauvais
-connus mauvais ou à noter

 

Pourquoi utiliser ce module ?

 

Gain sur l’analyse de 50%, de 18 minutes à 9 minutes

 

Pour inclure les modules hashs dans les reports
Pour rendre les modules ingests plus rapides et economiser l’analyse sur les fichiers déjà connus grace aux requetes NSRL (gain sur l’analyse de 50% , on peut passer de 18 minutes à 9 minutes)


NIST NSRL Hash Set: https://sourceforge.net/projects/autopsy/files/NSRL/NSRL-266m-computer-Autopsy.zip/download


Pour masquer les fichiers connus et qui ne nous interessent pas, de l’interface
Pour catégoriser les « mauvais » fichiers sans interet
Pour garder un repertoire centralisé et mis à jour avec les anciens/nouveaux projets cases

 

Comment calculer un hash ?

Ne pas tenir compte de l’espace non alloué
Calculer le hash MD5 du contenu du fichier
Enregistrer le hash dans la bases de donnée du project case
Si un fichier a déjà un hash, il ne sera pas recalculé.

 

Comment chercher un hash ?

 

Recherche dans toutes les bases de hashs configurés

Recherche dans la base NIST NSRL (qui sont flagués « connus » )


NIST NSRL Hash Set: https://sourceforge.net/projects/autopsy/files/NSRL/NSRL-266m-computer-Autopsy.zip/download


Dans le format SQLite de Sleuth kit (fichiers .kdb)
Dans les md5sum
Les entrepots de hashs … Hashkeeper

 

 Le status d’un fichier

 

Chaque fichier a un status
-remarquable, connu mauvais
-concu
-non connu (par defaut)

 

Comment configurer la recherche des hashs ?

 

Dans la partie hashs lookup

Si l’on a téléchargé la base NSRL,

NIST NSRL Hash Set: https://sourceforge.net/projects/autopsy/files/NSRL/NSRL-266m-computer-Autopsy.zip/download

on peut cocher l’option.

Le hash set peut être sauvegardé localement sur le PC Autopsy, ou à distance, dans le cas d’une installation partagée.

Les fichiers connus peuvent être ignorés des modules ingest, tout dépend de la configuration.

Par exemple, on peut utiliser la recherche le mot « Windows », avec ou sans NRSL
On passe de 6330 fichiers sans NSRL à 2311 fichiers avec NSRL

Analyse forensique d un système Windows avec Autopsy configuration ingest modules

Analyse des raccourcis

 

Il est possible d’ouvrir l’explorateur à partir d’un fichier sourcefile :

 

Analyse forensique d un système Windows avec Autopsy configuration source file

 

 

Une question? Posez-la ici

Besoin d'aide sur Autopsy ?

 Base importante de hashs : les index

Si on importe une grande base de hashet, autopsy construira un index pour rendre la recherche plus rapide
Il est de la forme –md5.idx à la fin

 

 Importer une base de données de hashs


« import hash set »

 Analyse forensique d un système Windows avec Autopsy configuration ingest modules

 

Une fois la base de hashs importée, il est possible de l’indexer en pressant le bouton « index ». Ceci peut etre particulierement long.

Reindexer une base hash importée permet d’avoir les mises à jour des hashs.

Création d’une base de hashs

On peut la créer localement, dans une base SQLite
On peut la créer à distance, dans un repertoire partagé

Tools/options/Hash sets/New hash set
« create hash set » dans le menu

 

 Ajouter un hash spécifique à une collection de hashs

 

Dans l’observer, cliquer bouton droit sur un des fichiers et faire « ajouter au hash set » / hasetperso


 Partager des collection de hashs

 

A la fin des projets, on peut se partager sa base de hashs entre analystes, comme si on se partageait ses recherches et ses trouvailles.

 


Nous allons maintenant commencer à analyser l'ordinateur portable. Nous commençons le cas avec quelques indices. Plus particulièrement, nous avons des photos qui ont été envoyées avec les e-mails de rançon à Basis Technology

Gardez le même projet ouvert du CTF précédent ou rouvrez le projet ("case1").

Faites un clic droit sur l'image device1_laptop.e01 dans l'arborescence et choisissez «Exécuter les modules d'ingestion»

Désactivez tous les modules sauf les suivants (nous en pré-chargerons certains pour le prochain tour):

Recherche de hachage

Identification du type de fichier

Détecteur de disparité d'extension

Extracteur de fichiers intégré

Exif Parser

Analyseur de messagerie

Moteur de corrélation

 

Analyse forensique d un système Windows avec Autopsy correlation engine

 

Configurez le module Hash Lookup avec deux ensembles de hachage:

Importez le fichier NSRL (NSRLComplete.txt-md5.idx) que vous avez précédemment téléchargé dans la section 1.
NIST NSRL Hash Set: https://sourceforge.net/projects/autopsy/files/NSRL/NSRL-266m-computer-Autopsy.zip/download


Vous devrez peut-être décompresser le fichier que vous avez téléchargé.
Exemple :
NSRLFile-266m-computer.txt-md5.idx


Vous pouvez utiliser les valeurs par défaut (c'est-à-dire Type: Connu).

Créez un nouvel ensemble de hachage:

Destination: locale

Nom: Ransom Case

Hash Set Path: [Tout dossier sur votre ordinateur]

Type: notable

 

Analyse forensique d un système Windows avec Autopsy create hash set

 

Utilisez le bouton "Ajouter des hachages au jeu de hachage" pour copier et coller la valeur MD5 suivante dans le jeu de hachage "Ransom Case". Ceci est le hachage de la note de rançon.

07c94320f4e41291f855d450f68c8c5b

 

Démarrez les modules d'ingestion.

Ca va durer un certain temps plutôt long…

Observer:
Utilisez Ingest Inbox comme indicateur lorsque des hits de hachage «Known Bad» sont trouvés.

Utilisez «Aller au résultat» pour accéder à la zone d'arborescence des résultats de hachage.

Afficher le hit de hachage.

Question: Laissez l'ingestion progresser d’au moins 15%. Combien de hits au total sont trouvés sous les résultats "Hashset Hits" après avoir exécuté le module Hash Lookup Ingest? 6

Question: Quels sont les noms de fichiers des hits de hachage? “RN.jpg” and “f_000239”

L'un des résultats se trouve dans un dossier nommé «Images». Faites un clic droit sur le fichier pour y «Afficher».

Question: Combien de fichiers ".jpg" au total se trouvent dans le dossier "Images" où le hachage notable a été trouvé? 7

Lors de l'examen des images dans ce dossier, il est remarqué que «IMG_20191024_155744.jpg» montre des violations de la santé en amenant le chien dans un restaurant. Nous voulons marquer ceci comme Notable:

Faites un clic droit dessus

Sélectionnez «Ajouter une étiquette de fichier» et choisissez «Élément notable»

 

Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit. J'espère que ça vous a plu.

 

Ce cours, avec TD, POC et QCM d'évaluation est composé de ces autres chapitres:

Modules ingest

Modules additionnels

Module Android

Moteur de corrélation

Recherche de mots avec SOLR et TIKA

Préparation CTF

CTF Renzik : UI

Writeup CTF Renzik

 

Vos commentaires/remarques sont les bienvenus:

on Google+
email this page