But : retouver les activités les plus récentes du web, des utilisateurs, des périphériques USB, corbeille OS…
Ce module extrait les activités récente de l’utilisateur
-activité web (Bookmarks, cookies, téléchargements…)
-analyse du registre (clés USB, comptes utilisateurs, programmmes installés, programmes lancés…)
-Analyse de la corbeille, éléments supprimés
But :
Savoir ce que l’utilisateur faisait sur son ordinateur
Quels sites il a visité dernierement
A quels ordinateurs il s’est connecté
On trouve ces résultats dans l’arbre :
Analyse forensique Windows avec Autopsy, module activité récente: web
Une question? Posez-la ici
Besoin d'aide?
Ce module fonctionne bien si l’utilisateur a surfé avec Chrome ou Firefox.
History
Cookies
Bookmarks
Downloads
Cache
Auto fill url
Form auto fill
Referrer url (la page d’où on venait)
L’historique et les cookies sont automatiquement récupérés sur les navigateurs les plus courants, comme Chrome, Firefox, IE, Edge, Safari.
Les navigateurs Android sont supports avec module Android
Les systemes ont souvent plusieurs navigateurs. Autopsy fusionne les artefacts de tous les navigateurs ensemble (exemple avec les favoris).
On récupère ainsi le titre de la page, la date créée, le domaine, le nom du navigateur
Ici on voit par exemple que l’utilisateur a consulté la page « comment devenir un hacker » et « faire une bombe soi meme »
Analyse forensique Windows avec Autopsy, module activité récente: Raccourci téléchargement web
Un clic droit et « voir fichier dans le répertoire » permet d’atteindre le fichier sur le disque directement
Récupération de fichiers téléchargés et autres objets communs
On récupère ainsi le titre de l‘url, le fichier t son chemin sur le disque, la date à laquelle il a été créé, le domaine, le nom du navigateur
Formulaires auto remplis
La bse « formhistory.sqlite » enregistre sous forme de paire clé-valeurs les champs sauvegardés.
Exemple, quand un utilisateur se connecte à son adresse email @hotmail.com il peut enregistrer se paramètre dans le navigateur
Web cache
Ce sont les pages visitées qui restent dans le proxy cache pour les retrouver et les afficher plus vite, sans devoir à nouveau interroger le serveur web.
On a les URLs, la date de création, les headers.
En cliquant avec le bouton droit, on peut voir les fichiers caches dans le répertoire
Analyse des recherches internet
A lancer après avoir lancé les modules navigateurs.
On peut retrouver les requetes lancées dans le navigateur, exemple : https://www.google.com/#q=autopsy
Autopsy crée de nouveaux objets avec ce qui a été recherché.
Une question? Posez-la ici
Besoin d'aide?
Analyse forensique Windows avec Autopsy, module activité récente: base du registre
Avec le logiciel open source RegRipper/RunRipper : http://code.google.com/p/regripper/
https://code.google.com/archive/p/regripper/
Il analyse les infos des différentes ruches et présente les résultats.
Autopsy se sert des résultats de RegRipper pour détecter des modifications intéréssantes sur le système :
Clés USB connectées : make, model, id, date
Programmes installés, nom, date d’installation
Programmes lances
Informations sur le compte utilisateur
Les process sont analysées auss, dans la ruche system32\config\
-system
-software
-security
-sam
Requetes dans la ruche NTUSER.dat
On trouve les résultats dans l’arbre « extracted content »
Quel était probablement le nom d'origine du ou des fichiers?
Question: Sous Comptes, quel est le nom d'utilisateur associé au compte Twitter trouvé sur l'appareil?
Analyse forensique Windows avec Autopsy, module activité récente: la corbeille
Une question? Posez-la ici
Besoin d'aide ?
Le répertoire $Recycle.Bin contient des copies des fichiers qui ont été effacés et existent toujours dans la corbeille. Ils ont de nouveaux noms commencant par « $R »
Un fichier manifest $I informe d’où vient le fichier etdonne le chemin original et la date à laquelle le fichier a été effacé. Il crée une entrée de fichier effacé dans l’endroit où le fichier existe au départ.
Analyse forensique Windows avec Autopsy, module activité récente: la corbeille: QCM
Exécutons l'ingestion avec uniquement "Activité récente" activée.
Question: Combien de signets Web ont été trouvés? 5
Question: Quelle URL est un signet suspect étant donné le dognapping? Ransomizer
Question: De quel jour les cookies sont-ils associés au domaine "youtube.com"? 12/11/2019
Question: Quelle est la valeur associée au nom «identification» sous Remplissage automatique de formulaire Web? This email address is being protected from spambots. You need JavaScript enabled to view it.
Question: Sous Historique Web, quel jour les recherches Google suivantes ont-elles été effectuées?
"Comment traiter une morsure de chien" 12/11/19
"Comment faire une demande de rançon" 5/11/19
Sous "Historique Web", quelle est la date (au format AAAA-MM-JJ) associée aux "tactiques de négociation des otages" de la recherche Google? Pas le 20/11/19
Quel était probablement le nom d'origine du fichier "$ RFC5YC5.txt", qui se trouve actuellement dans la corbeille? Vcpw
Sous Comptes, quel est le nom d'utilisateur associé au compte Twitter trouvé sur l'appareil? Antirenzik
Question: Combien de périphériques USB non VM ont été connectés au système?
REMARQUE: 21 avril 2020: certains systèmes Linux n'obtiennent pas de réponse correcte à cela avec Autopsy 4.14 car RegRipper ne peut pas s'exécuter. Ce problème a été corrigé dans 4.15.
Nous entendons parler de certains systèmes Windows où l'interface utilisateur n'affiche pas les ID de périphérique (mais ils sont enregistrés dans la base de données de cas). Vous pouvez ensuite rouvrir le boîtier et voir les résultats. Nous cherchons pourquoi cela se produit.
Question: Combien de fichiers est / sont actuellement dans la Corbeille? 50
Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit. J'espère que ça vous a plu.
Vos commentaires/remarques sont les bienvenus: