Consulting, services, computer engineering. Implementation of technology solutions and support for businesses.

User Rating: 5 / 5

Star ActiveStar ActiveStar ActiveStar ActiveStar Active
 

 

But : retouver les activités les plus récentes du web, des utilisateurs, des périphériques USB, corbeille OS…
Ce module extrait les activités récente de l’utilisateur


-activité web (Bookmarks, cookies, téléchargements…)
-analyse du registre (clés USB, comptes utilisateurs, programmmes installés, programmes lancés…)
-Analyse de la corbeille, éléments supprimés


But :
Savoir ce que l’utilisateur faisait sur son ordinateur
Quels sites il a visité dernierement
A quels ordinateurs il s’est connecté
On trouve ces résultats dans l’arbre :

 

Analyse forensique Windows avec Autopsy module activité récente arbre

 

Analyse forensique Windows avec Autopsy, module activité récente: web

 

 

Une question? Posez-la ici

Besoin d'aide?

 


Ce module fonctionne bien si l’utilisateur a surfé avec Chrome ou Firefox.

History
Cookies
Bookmarks
Downloads
Cache
Auto fill url
Form auto fill
Referrer url (la page d’où on venait)

L’historique et les cookies sont automatiquement récupérés sur les navigateurs les plus courants, comme Chrome, Firefox, IE, Edge, Safari.


Les navigateurs Android sont supports avec module Android
Les systemes ont souvent plusieurs navigateurs. Autopsy fusionne les artefacts de tous les navigateurs ensemble (exemple avec les favoris).

 

On récupère ainsi le titre de la page, la date créée, le domaine, le nom du navigateur

Analyse forensique Windows avec Autopsy module activité récente historique web

 

 Ici on voit par exemple que l’utilisateur a consulté la page « comment devenir un hacker » et « faire une bombe soi meme »

 

 

Analyse forensique Windows avec Autopsy, module activité récente: Raccourci téléchargement web

 

Un clic droit et « voir fichier dans le répertoire » permet d’atteindre le fichier sur le disque directement

 

Récupération de fichiers téléchargés et autres objets communs


On récupère ainsi le titre de l‘url, le fichier t son chemin sur le disque, la date à laquelle il a été créé, le domaine, le nom du navigateur

 

Formulaires auto remplis


La bse « formhistory.sqlite » enregistre sous forme de paire clé-valeurs les champs sauvegardés.
Exemple, quand un utilisateur se connecte à son adresse email @hotmail.com il peut enregistrer se paramètre dans le navigateur

 

 Web cache

 

Ce sont les pages visitées qui restent dans le proxy cache pour les retrouver et les afficher plus vite, sans devoir à nouveau interroger le serveur web.
On a les URLs, la date de création, les headers.
En cliquant avec le bouton droit, on peut voir les fichiers caches dans le répertoire

 

Analyse des recherches internet

 

A lancer après avoir lancé les modules navigateurs.
On peut retrouver les requetes lancées dans le navigateur, exemple : https://www.google.com/#q=autopsy
Autopsy crée de nouveaux objets avec ce qui a été recherché.

 

 

 

Une question? Posez-la ici

Besoin d'aide?

 

 

Analyse forensique Windows avec Autopsy, module activité récente: base du registre

 

Avec le logiciel open source RegRipper/RunRipper : http://code.google.com/p/regripper/


https://code.google.com/archive/p/regripper/


Il analyse les infos des différentes ruches et présente les résultats.

Autopsy se sert des résultats de RegRipper pour détecter des modifications intéréssantes sur le système :
Clés USB connectées : make, model, id, date
Programmes installés, nom, date d’installation
Programmes lances
Informations sur le compte utilisateur

Les process sont analysées auss, dans la ruche system32\config\
-system
-software
-security
-sam

Requetes dans la ruche NTUSER.dat

On trouve les résultats dans l’arbre « extracted content »

Quel était probablement le nom d'origine du ou des fichiers?

Question: Sous Comptes, quel est le nom d'utilisateur associé au compte Twitter trouvé sur l'appareil?

 

Analyse forensique Windows avec Autopsy, module activité récente: la corbeille

 

 

 

 

Une question? Posez-la ici

Besoin d'aide ?

Le répertoire $Recycle.Bin contient des copies des fichiers qui ont été effacés et existent toujours dans la corbeille. Ils ont de nouveaux noms commencant par « $R »

Un fichier manifest $I informe d’où vient le fichier etdonne le chemin original et la date à laquelle le fichier a été effacé. Il crée une entrée de fichier effacé dans l’endroit où le fichier existe au départ.

 


Analyse forensique Windows avec Autopsy, module activité récente: la corbeille: QCM

Exécutons l'ingestion avec uniquement "Activité récente" activée.

Question: Combien de signets Web ont été trouvés? 5

Question: Quelle URL est un signet suspect étant donné le dognapping? Ransomizer

Question: De quel jour les cookies sont-ils associés au domaine "youtube.com"? 12/11/2019

Question: Quelle est la valeur associée au nom «identification» sous Remplissage automatique de formulaire Web? This email address is being protected from spambots. You need JavaScript enabled to view it.

Question: Sous Historique Web, quel jour les recherches Google suivantes ont-elles été effectuées?

"Comment traiter une morsure de chien" 12/11/19

"Comment faire une demande de rançon" 5/11/19

Sous "Historique Web", quelle est la date (au format AAAA-MM-JJ) associée aux "tactiques de négociation des otages" de la recherche Google? Pas le 20/11/19

Quel était probablement le nom d'origine du fichier "$ RFC5YC5.txt", qui se trouve actuellement dans la corbeille? Vcpw

Sous Comptes, quel est le nom d'utilisateur associé au compte Twitter trouvé sur l'appareil? Antirenzik

Question: Combien de périphériques USB non VM ont été connectés au système?

REMARQUE: 21 avril 2020: certains systèmes Linux n'obtiennent pas de réponse correcte à cela avec Autopsy 4.14 car RegRipper ne peut pas s'exécuter. Ce problème a été corrigé dans 4.15.

Nous entendons parler de certains systèmes Windows où l'interface utilisateur n'affiche pas les ID de périphérique (mais ils sont enregistrés dans la base de données de cas). Vous pouvez ensuite rouvrir le boîtier et voir les résultats. Nous cherchons pourquoi cela se produit.

Question: Combien de fichiers est / sont actuellement dans la Corbeille? 50

 

Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit. J'espère que ça vous a plu.

Vos commentaires/remarques sont les bienvenus:

on Google+
email this page