Création de l’image physique d’un disque dur

Un mode opératoire pour capturer l’image physique d’un disque dur à des fins d’analyse de contenu.

Deux modes de copie de contenu d’un disque dur :

– la logique => identique à celle retrouvée dans une copie de fichiers Windows ou Linux. Inconvénient : modification de la propriétés des fichiers copiés (horodatage, canaux cachés, etc… et copie seule des fichiers connus/indexés par le système source.

– la physique => on prend une partition ou un disque entier puis on transfère octet par octet l’intégralité du contenu (incluant les zones ayant contenu des fichiers effacés, contenant aussi les conteneurs cachés ou cryptés) sans toucher aux propriétés des fichiers.

Les différentes informations ont été pompées depuis ces 2 sites (par ailleurs passionnants)  : http://zythom.blogspot.fr et http://www.brunovalentin.com

1 – Création du Live USB.

L’objectif : pouvoir démarrer l’ordinateur visé sur un périphérique externe sans intervenir sur le contenu du disque dur.

Deux outils open source sont utilisés :  l’ISO de DEFT 8   (ou à peu près n’importe quel LiveCD Linux) et  LinuxLive USB Creator

Une clé USB (> 4Go)

Un partage réseau (CIFS) sur un NAS ou PC ou un autre PC pouvant exécuter Netcat, avec suffisamment d’espace disque pour accueillir l’image du disque capturé.

– Installez LinuxLive USB Creator sur votre propre PC : il va vous permettre de générer une clé USB bootable contenant Deft 8.

  • Choisissez la lettre de votre clé USB
  • Sélectionnez l’ISO => un test de compatibilité sera fait pour s’assurer que le boot soit possible.
  • (à mon avis), décochez la première case et la 3ème, cochez la seconde.
  • cliquez sur l’éclair.

Capture2

Si la capture de l’image disque doit se faire depuis un PC ancien (qui ne supporterait pas un OS 64bits), préférez DEFt 7.2.

 2 – Préparation de la capture et prise d’empreinte

– Assurez-vous d’avoir désactivé les fonctions SMART dans le bios (soit du PC, soit de la carte Controleur).

– Si votre transfert se fait via un partage CIFS (ou Samba), regroupez les informations nécessaires à la connexion au partage (@IP, nom d’utilisateur, voire de domaine AD,  password, et nom du partage).

– Bootez sur Deft, lancez l’interface graphique (deft-gui) passez en clavier FR, puis sous terminal montez votre partage Windows sous Deft :

mount -t cifs //10.0.0.10/capture  -o username=utilisateur   /root/capture1

 

Prenez l’empreinte du disque à capturer. Cette empreinte, réalisée avant toute intervention, vous donnera une valeur ou une clé (un hash)  qui correspond à un calcul sur la totalité des données du disque. Si vous refaites l’opération X fois et que vous obtenez toujours la même clé : cela signifie que le contenu du disque n’a pas été altéré ou modifié.

– Utilisez pour cela Dhash 2 :

Capture1

 

– Cochez les cases MD5 et SHA1 afin de générer les Hash selon ces deux modes de calcul puis cliquez juste sur Acquire

– Sauvegardez le résultat en cliquant sur SaveLog et en spécifiant le chemin CIFS monté plus haut.

 

 3 – Réalisation de la Capture

Juste un :

dd_rescue  -l /root/capture1/journal.log /dev/sda  /root/capture1/sda-xxxx.hdd

où  :

/dev/sda désigne le disque physique à capturer

le -l /root/capture1/journal.log sert à journaliser les erreurs qui seraient rencontrées lors de la lecture des secteurs .

 

Si le disque comporte des erreurs physiques, l’utilisation de ddrescue (sans le _) peut s’avérer plus efficace en terme de délai de capture.

ddrescue -B -r 1 /dev/sda  /root/capture1/sda-xxxx.hdd

 

4 – Exploitation du disque capturé

Le fichier généré ci-dessus est exploitable de plusieurs manières :

– montage sous VMWare du disque comme secondaire d’un OS existant (attention si c’est Windows , le simple fait de monter une nouveau lecteur en écriture suffit à ce qu’il modifie le contenu , entre autres choses à cause de l’indexation automatique…)

– lancement de PhotoRec avec le fichier hdd en ligne de commande

– exploitation avec AutoPsy 3.x

 

Quelques liens utiles :

http://www.garloff.de/kurt/linux/ddrescue/

http://forum.hardware.fr/hfr/OSAlternatifs/Hardware-2/recuperation-donnees-illisible-sujet_58662_1.htm

Mounting a raw partition file made with dd or dd_rescue in Linux

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *