Archives de catégorie : Expertises

Outils d’analyse post-mortem …

… principalement pour les experts de justice.

1 – Boot sur USB avec plusieurs ISO

On jongle souvent avec nombre parfois important de distributions type Linux (Cain, Kali, Paladium, …) ou Windows sur des clés USB différentes qu’il faut mettre à jour régulièrement. Selon les distributions, il faudra utiliser son outil préféré (Rufus, ou Etcher, ou « Outils de téléchargement USB », ou Ubootin ou…).

Pour éviter de jongler avec toutes les clés USB, une première solution est matérielle en achetant un disque USB type Zalman ZM-VE-350 (environ 60€ pour le boitier nu) qui stockera tous vos ISO sur disque et seront sélectionnables via un menu affiché sur le disque dur.

La seconde solution, utiliser un outil open source.

Soit Easy2boot très bien expliqué ici https://www.cachem.fr/easy-2-boot-creez-cle-usb-multi-iso/

Soit Ventoy, ultra simple, rapide à mettre en place aussi bien pour une clé USB qu’un disque dur USB !!

https://www.ventoy.net/en/index.html

Il suffit d’exécuter le fichier Ventoy2disk.Exe,

Choisir le support USB qui sera formaté et go via Install

Il faut copier ensuite ses ISO préférées dans le lecteur (partition) du support USB créé par Ventoy et c’est tout !

Plus de 215 ISO sont validées avec Ventoy : https://www.ventoy.net/en/isolist.html

Constat via Internet

Le constat via internet, analyse technique.

C’est l’une des activités d’un Huissier ; pour effectuer le constat, l’Huissier (qui peut se faire assister d’un expert judiciaire) suit la norme AFNOR NF Z67-147 qui a été poussée par la commission « actes authentiques d’huissiers de Justice « , basée sur du bon sens, du pragmatisme et l’addition des jurisprudences passées.

Respecter cette norme permettra à l’Huissier de produire un constat depuis internet plus difficilement remis en cause par une tierce partie puisque les conditions techniques de constat sont précisément définies et explicitées.

En quelques points, les points nécessaires pour être dans le cadre de la norme AFNOR NF Z67-147 :

  • description de l’ordinateur utilisé (marque, modèle, numéro de série, versions précises d’OS et du navigateur)
  • description de la configuration réseau d’accès à internet (notamment l’absence d’un serveur proxy)
  • Adresse IP locale et publique
  • Scan de l’ordinateur avec un ou plusieurs moteurs antivirus/antimalware
  • Un historique purgé (ou une utilisation en mode navigation privée)
  • Une synchronisation horaire via NTP (avec la source de temps),
  • une configuration du navigateur expurgée de tout proxy local (ou réseau), historique (cookies, mots de passe, cache, formulaire,…)
  • un Wireshark prêt à capturer tout le trafic le temps de la navigation web.

On voit bien que tous ces points paraissent finalement du bon sens.

Mais quelques difficultés apparaissent, notamment :

  • est-ce qu’il n’y a pas dans le réseau de sortie internet un proxy transparent au niveau du firewall, au niveau de la box d’accès internet ou au niveau de l’opérateur ?
  • est-ce que les flux (type http voire https) ne sont pas modifiés ou altérés par des équipements réseaux ou même via l’opérateur ?

Pistes :

Une fois ces précautions respectées, il reste la création d’une trace du constat afin de pouvoir l’insérer dans un DVD, une clé ou sur copie papier (oui…). Soit des copies d’écrans du site web sont effectuées (horodatées) puis intégrées dans un document principal, soit le site est aspiré pour être stocké sur un support électronique, soit sur le site en ligne, soit sur l’un des sites web qui archives des versions antérieures avec notamment : archive.org , archive-it.org , google.com et screenshots.com (en 2014, archives.org a été intégré dans un arrêt de la cour de Cassation).

Nouvelles difficultés pour l’Huissier :

  • aspirer un site Web dans les années 90 était jouable et réaliste : à ce jour, l’aspiration d’un site web par un outil devient extrêmement complexe voire irréaliste ou cela revient à prendre le risque de ne capturer que les partie statiques du site web. Sur un site web dynamique, effectuer un hash de la capture web devient même impossible.
  • aspirer un site web pourrait aussi emmener sur le terrain de la contrefaçon… Donc à manipuler avec une grande précaution (ou validation par l’Huissier auprès du magistrat).

Piste : utiliser un  outil d’acquisition de site web accessible depuis internet comme FAW. Un tel outil se chargera de faire toutes les copies d’écran horodatées au format UTC, de générer la vidéo de navigation (pratique lorsqu’il y a des animations ou vidéos), de capturer les bulles, le code HTML du navigateur et de l’intégration à Wireshark.

 

 

Création de l’image physique d’un disque dur

Un mode opératoire pour capturer l’image physique d’un disque dur à des fins d’analyse de contenu.

Deux modes de copie de contenu d’un disque dur :

– la logique => identique à celle retrouvée dans une copie de fichiers Windows ou Linux. Inconvénient : modification de la propriétés des fichiers copiés (horodatage, canaux cachés, etc… et copie seule des fichiers connus/indexés par le système source.

– la physique => on prend une partition ou un disque entier puis on transfère octet par octet l’intégralité du contenu (incluant les zones ayant contenu des fichiers effacés, contenant aussi les conteneurs cachés ou cryptés) sans toucher aux propriétés des fichiers.

Les différentes informations ont été pompées depuis ces 2 sites (par ailleurs passionnants)  : http://zythom.blogspot.fr et http://www.brunovalentin.com

1 – Création du Live USB.

L’objectif : pouvoir démarrer l’ordinateur visé sur un périphérique externe sans intervenir sur le contenu du disque dur.

Deux outils open source sont utilisés :  l’ISO de DEFT 8   (ou à peu près n’importe quel LiveCD Linux) et  LinuxLive USB Creator

Une clé USB (> 4Go)

Un partage réseau (CIFS) sur un NAS ou PC ou un autre PC pouvant exécuter Netcat, avec suffisamment d’espace disque pour accueillir l’image du disque capturé.

– Installez LinuxLive USB Creator sur votre propre PC : il va vous permettre de générer une clé USB bootable contenant Deft 8.

  • Choisissez la lettre de votre clé USB
  • Sélectionnez l’ISO => un test de compatibilité sera fait pour s’assurer que le boot soit possible.
  • (à mon avis), décochez la première case et la 3ème, cochez la seconde.
  • cliquez sur l’éclair.

Capture2

Si la capture de l’image disque doit se faire depuis un PC ancien (qui ne supporterait pas un OS 64bits), préférez DEFt 7.2.

 2 – Préparation de la capture et prise d’empreinte

– Assurez-vous d’avoir désactivé les fonctions SMART dans le bios (soit du PC, soit de la carte Controleur).

– Si votre transfert se fait via un partage CIFS (ou Samba), regroupez les informations nécessaires à la connexion au partage (@IP, nom d’utilisateur, voire de domaine AD,  password, et nom du partage).

– Bootez sur Deft, lancez l’interface graphique (deft-gui) passez en clavier FR, puis sous terminal montez votre partage Windows sous Deft :

mount -t cifs //10.0.0.10/capture  -o username=utilisateur   /root/capture1

 

Prenez l’empreinte du disque à capturer. Cette empreinte, réalisée avant toute intervention, vous donnera une valeur ou une clé (un hash)  qui correspond à un calcul sur la totalité des données du disque. Si vous refaites l’opération X fois et que vous obtenez toujours la même clé : cela signifie que le contenu du disque n’a pas été altéré ou modifié.

– Utilisez pour cela Dhash 2 :

Capture1

 

– Cochez les cases MD5 et SHA1 afin de générer les Hash selon ces deux modes de calcul puis cliquez juste sur Acquire

– Sauvegardez le résultat en cliquant sur SaveLog et en spécifiant le chemin CIFS monté plus haut.

 

 3 – Réalisation de la Capture

Juste un :

dd_rescue  -l /root/capture1/journal.log /dev/sda  /root/capture1/sda-xxxx.hdd

où  :

/dev/sda désigne le disque physique à capturer

le -l /root/capture1/journal.log sert à journaliser les erreurs qui seraient rencontrées lors de la lecture des secteurs .

 

Si le disque comporte des erreurs physiques, l’utilisation de ddrescue (sans le _) peut s’avérer plus efficace en terme de délai de capture.

ddrescue -B -r 1 /dev/sda  /root/capture1/sda-xxxx.hdd

 

4 – Exploitation du disque capturé

Le fichier généré ci-dessus est exploitable de plusieurs manières :

– montage sous VMWare du disque comme secondaire d’un OS existant (attention si c’est Windows , le simple fait de monter une nouveau lecteur en écriture suffit à ce qu’il modifie le contenu , entre autres choses à cause de l’indexation automatique…)

– lancement de PhotoRec avec le fichier hdd en ligne de commande

– exploitation avec AutoPsy 3.x

 

Quelques liens utiles :

http://www.garloff.de/kurt/linux/ddrescue/

http://forum.hardware.fr/hfr/OSAlternatifs/Hardware-2/recuperation-donnees-illisible-sujet_58662_1.htm

http://major.io/2010/12/14/mounting-a-raw-partition-file-made-with-dd-or-dd_rescue-in-linux/