User Rating: 5 / 5

Star ActiveStar ActiveStar ActiveStar ActiveStar Active
 
Details

Analyse forensique d'un système Windows avec Autopsy, exemple CTF Renzik

 

Une des épreuves de challenges préférés de l'équipe CTF LGHM

pwne les tous

  

La capture du drapeau ou « capturez le drapeau » (souvent abrégé en CTF pour Capture the Flag), est un mode de jeu par équipe . Ce type de jeu a été adapté dans divers domaines ainsi qu'en cybersécuritévoir https://fr.wikipedia.org/wiki/Capture_du_drapeau certains pour passer le temps font des mots croisés, d'autres du sudoku, nous c'est du CTF :-)

Comment devenir pentesteur? Résoudre les énigmes CTF, et c'est facile avec l'outil pwnator LGHM by Ponemon technologies qui est un framework qui résume les principales étapes du pentest. Ideal pour récolter un max de points lors des épreuves CTF dans les conférences infosec . Mais avant, il faut s'entrainer: Pour commencer, voici comment obtenir un code de parrainage hack the box

 

Bienvenue dans le writeup de Renzik! Il s'agit d'un CTF où les joueurs doivent retrouver Renzik, le chien kidnappé dont un gang demande une rançon au propriétaire. C'est parti!

  

Analyse forensique d'un système Windows avec Autopsy, write up CTF Renzik

 

Scénario :
Le chien Renzik d’un homme politique a été kidnappé et les kidnappeurs demandeur une rançon pour restituer le chien.
La police a localisé les kindappeurs dans un supermarché, mais ils se sont échappés. A ce moment là ils ont laissé leur ordinateur portable Windows dans la voiture garée sur le parking. Il faut donc analyser le pc portable.
Plus tard, la police obient un mandat pour visiter le domicile associé à la voiture.
En visitant le domicile, la police trouve une carte mémoire cachée.

Utilisation des 2 images fournies
device1_laptop.e01
device2_mediacard.e01

Avant de commencer les travaux pratiques, assurez-vous d'avoir reçu les images répertoriées dans la section 1. Si vous souhaitez confirmer que vous n'avez subi aucune corruption, voici les valeurs MD5 des fichiers

MD5 (device1_laptop.e01) = dc176d653c5613e305e831525e874090
MD5 (device2_mediacard.e01) = c8343d3976eec2985e7580a2b6321591


Nous allons maintenant commencer l'analyse du disque dur qui a été trouvé dans la voiture des kidnappeurs. À ce stade du scénario, nous n'avons pas encore fouillé la maison et n'aurons donc pas accès au périphérique de carte multimédia. 

 

Une question? Posez-la ici

Vous voulez aussi participer au concours de writeups et gagner un smartphone? Contactez la Red Team LGHM

Analyse forensique d'un système Windows avec Autopsy, write up CTF Renzik

 

Lancement d’Autopsy

Création d’un nouveau projet cas , comme si on créeait un nouveau projet sur un autre logiciel comme MS Projetc...

Renseigner ces infos

Sauver dans c:\consultingit

 

Analyse forensique d un système Windows avec Autopsy write up CTF Renzik nouveau projet cas

 

Ne pas renseigner les infos de l’analyste

Ajouter device1_laptop.e01 comme source de données


Ajouter l’image device1_laptop.e01 en tant que source de données

+ add data source

A ce moment, le process javaw.exe travaille à 90% CPU, il demande jusqu’à 450 000 k de mémoire.

Des fois, si on attends TROP longtemps, Autopsy plante, le relancer…

Attendre « quelques minutes » en fonction de la puissances de la station de travail, le logiciel demande quel type de data source ajouter

-disk image ou fichier VM , next
-path : aller chercher le fichier image xxxx.e01, next
-décocher tous les modules ingest, deselect all
-next

Attendre « quelques minutes » en fonction de la puissances de la station de travail, le logiciel importe la source


Déselectionner tous les modules ingest

L’image met un certain temps à se monter

Ouvrir le volet l’arbre de sources de données

Combien de volumes comprend l’image disque? 6

Analyse forensique d un système Windows avec Autopsy write up CTF Renzik datasources

 

 

 

Une question? Posez-la ici

Vous voulez aussi participer au concours de writeups et gagner un smartphone? Contactez la Red Team LGHM

Quel est le nom du fichier dans l’espace non alloué dans le volume 1 ? Unalloc_3_0_1048576

Clic doit sur vol7, détail du système de fichiers, quel est le file system ? NTFS

 

 Analyse forensique d un système Windows avec Autopsy write up CTF Renzik ntfs

 

 

Une question? Posez-la ici

Vous voulez aussi participer au concours de writeups et gagner un smartphone? Contactez la Red Team LGHM

 

Ouvrir le répertoire « c:\users\consultingit\documents\consultingit » et observer son contenu

Quelle est la base de donnée appelée ? autopsy.db
Taille de la base de donnée en Mb ? 225

 

Pub:. Cyber Triage

Cyber Triage est un logiciel DFIR rapide et abordable que toute organisation peut utiliser pour la visibilité des terminaux. Conçu par l'équipe de Brian Carrier chez Basis Technology, Cyber Triage est sans agent et s'intègre à l'intelligence des menaces pour collecter et analyser automatiquement les données des terminaux.

 

 

 

Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit. J'espère que ça vous a plu.

 

Ce cours, avec TD, POC et QCM d'évaluation est composé de ces autres chapitres:

Modules ingest

Modules additionnels

Module AndroidAndroid

Moteur de corrélation

Recherche de mots avec SOLR et TIKA

Préparation CTF

CTF Renzik : UI

Writeup CTF Renzik

 

Vos commentaires/remarques sont les bienvenus: