Tweet
Bonjours tous le monde , je n'ai trouvé aucun sujet en français présentant la distribution Caine et la forensic en général , pourtant cette science et cette distribution mérite une présentation et un petit détours
I°) Sommaire et présentation
Caine est une distribution italienne , ce n'est pas une distribution de pen-test comme on peut en voir à la pelle , mais elle est tous de même utile
c'est une distribution de forensic ( investigation numérique ) elle permet donc d'analysé des disque durs de les copié de dumpé la ram d'analysé des backup de téléphone portable et
encore bien plus , elle vaut le détours je vais donc essayé de vous présenté les tools qu'elle embarque bien que ceci sont nombreux nous verrons les principaux
I-1°) La forensic Que Za Co ?
La forensic est une des branche de l'informatique c'est d'ailleurs avec cette science que les techniciens de la police cherche des preuve dans
un système informatique suite à une cyber attaque ou bien suite à une saisie c'est avec ce genre d'outils qu'ils dump la ram et analyse ce qui à été
chargé en dernier dedans etc.... C'est aussi valable pour les Malware on peut les disséqués et dé-compilés mais là n'est pas le sujet
En claire vous l'aurez compris la forensic ça permet d'analysé des données suite à un incident sur une machine / serveur et en trouvé la cause et
le / les responsable si il y en à
I-2°) Les définitions des différentes techniques et des termes courant
- Le dump : Action de copié les donnés brute sans aucune modification d'un disque dur ( dump d'un disque dur par exemple ) cependant il serait faux de parlé d'un dump mémoire
- Le core dump : copie des registres et des dernière donné stocké en mémoire ( dans la ram )
- Les logs : fichier contenant l’historique des dernière tâche faite ou des dernier utilisateurs
- La décompilation : action permettant de voir partiellement un fichier ou bien obtenir sont code en entier ( nécessite des connaissance assez poussez en hexa-décimal et assembleurs ) généralement assez difficile puisque que un exécutable peut être compressé
- Mapping technique permettant de mettre en correspondance plusieurs élément
- Hashing : Permet de rendre illisible certaine donnée ( on parle plus de cryptage et ce termes est assez proche de celui ci )
- Ripping : récupération de média numérique ( image , sons , vidéo ) depuis un support physique ( disque dur CD / DVD etc..)
Nous avons fait le tours des techniques les plus couramment utilisé en forensic
II°) Allons plus loin , Testons Caine
Bon puisque que la pratique est mieux que la théorie je vous propose maintenant de téléchargé et lancé cette distributions dans
un environnement virtuelle cette partis marche également avec VirtualBox bien que j'ai préféré utilisé l'utilitaire de machine virtuelle
VMware Workstation 14
Il faut ce rendre ici : http://www.caine-live.net/ et téléchargé le fichier iso avec votre méthode favorite ( soit torrent ou soit en direct )
De là il ne reste plus grands chose à faire cette distribution fonctionnant en live nous n'avons pas besoin d'utilisé un VHD important ( Virtual Hard Drive )
1go de ram est amplement suffisant une fois configuré et parfaitement fonctionnel nous allons analysé et donc réalisé un core dump de notre symbolique
giga de ram
J'ai donc sélectionné l'outils memdump , il ne reste plus qu'a lancé le core dump , libre à vous de modifié la commande ou d'essayé des autre
options c'est un peu le but en même temps , comme vous pouvez le constaté sur la capture d'écran nous pouvons donc agir sur la mémoire du
noyaux au lieu de la mémoire physique voir les deux puisque que dans ce genre d'utilitaire les options peuvent s'enchaîné un peu comme...Reaver,
quand je vous avait dis que les options sont très vaste je ne mentais pas
Nous allons donc testé le memdump avec l'options -S
La commande rentré est donc :
Et voici le résultat
Une belle bouillies de caractère incompréhensible n'est ce pas ? voyons si on peut amélioré ça
effectivement ça améliore un peu la reconnaissance nous voyons dort et déjà maintenant intel et vmware en claire c'est un bon début n'est ce pas ?
je pense que le problème de lisibilité vient déjà du faite que l'affichage en VM est assez petit et sans doute un problème d'encodage quoi qu'il en soit c'est à creusé
Bien maintenant que nous avons testé le memdump , testons un dernier tools pour la route maintenant que nous avons pus testé un petit peu les fonctionalité qu'offre
memdump , testons un utilitaire de disque dur ( Guymager ) ce coût ci en GUI peut être que certain d'entre vous n'aime pas bien le terminal pure et dur , c'est pourquoi
pour ce suivant test il y a une GUI
Guymager , permet donc de cloné et acquérir un disque dur dans le cas d'une véritable enquête la première chose qui est faite c'est une copies du disque dur original de façons à
pouvoir l'analysé sans risqué de compromettre des données
On peut même également choisir la destination du disque cloné et plein d'autre truc à remplir le numéro de dossier , le numéro de preuve etc... cette utilitaire est vraiment très complet ( je me demande si dans ce genre de situation un stockage sur réseaux est possible car bon cloné un véritable disque dur de 2 téra il faut en avoir le double pour le stocké , )
III°) Conclusion
Nous pouvons conclure avec toute les options et tous les paquets disponible dans cette distribution dédié à la forensique cette distribution ce classe
donc première dans ça catégorie aucune autre distribution à ma connaissance n'intègre autant de paquet dédié et d'options , elle est facile à prendre en main.
En revanche les outils qu'elle embarque sont assez farfelus , il faut vraiment avoir le temps et surtout être véritablement passionné par la forensic pour réussir à maîtrisé tous les
outils présent dans celle ci sur le bout des doigts , elle s'adresse donc à des personnes avisé dans cette matière là ( ou bien encore des entreprise de sécurité et d'analyse )
mais ce fût vraiment un plaisir de l'utilisé en machine virtuelle dans cette configuration suivante un go de ram et 1 cœurs je n'ai décelé aucun mais vraiment aucun lag elle est resté fluide en tous temps j’espère que ce test vous aura plus si vous avez des remarques et des conseils , je prend volontiers !
I°) Sommaire et présentation
Caine est une distribution italienne , ce n'est pas une distribution de pen-test comme on peut en voir à la pelle , mais elle est tous de même utile
c'est une distribution de forensic ( investigation numérique ) elle permet donc d'analysé des disque durs de les copié de dumpé la ram d'analysé des backup de téléphone portable et
encore bien plus , elle vaut le détours je vais donc essayé de vous présenté les tools qu'elle embarque bien que ceci sont nombreux nous verrons les principaux
I-1°) La forensic Que Za Co ?
La forensic est une des branche de l'informatique c'est d'ailleurs avec cette science que les techniciens de la police cherche des preuve dans
un système informatique suite à une cyber attaque ou bien suite à une saisie c'est avec ce genre d'outils qu'ils dump la ram et analyse ce qui à été
chargé en dernier dedans etc.... C'est aussi valable pour les Malware on peut les disséqués et dé-compilés mais là n'est pas le sujet
En claire vous l'aurez compris la forensic ça permet d'analysé des données suite à un incident sur une machine / serveur et en trouvé la cause et
le / les responsable si il y en à
I-2°) Les définitions des différentes techniques et des termes courant
- Le dump : Action de copié les donnés brute sans aucune modification d'un disque dur ( dump d'un disque dur par exemple ) cependant il serait faux de parlé d'un dump mémoire
- Le core dump : copie des registres et des dernière donné stocké en mémoire ( dans la ram )
- Les logs : fichier contenant l’historique des dernière tâche faite ou des dernier utilisateurs
- La décompilation : action permettant de voir partiellement un fichier ou bien obtenir sont code en entier ( nécessite des connaissance assez poussez en hexa-décimal et assembleurs ) généralement assez difficile puisque que un exécutable peut être compressé
- Mapping technique permettant de mettre en correspondance plusieurs élément
- Hashing : Permet de rendre illisible certaine donnée ( on parle plus de cryptage et ce termes est assez proche de celui ci )
- Ripping : récupération de média numérique ( image , sons , vidéo ) depuis un support physique ( disque dur CD / DVD etc..)
Nous avons fait le tours des techniques les plus couramment utilisé en forensic
II°) Allons plus loin , Testons Caine
Bon puisque que la pratique est mieux que la théorie je vous propose maintenant de téléchargé et lancé cette distributions dans
un environnement virtuelle cette partis marche également avec VirtualBox bien que j'ai préféré utilisé l'utilitaire de machine virtuelle
VMware Workstation 14
Il faut ce rendre ici : http://www.caine-live.net/ et téléchargé le fichier iso avec votre méthode favorite ( soit torrent ou soit en direct )
De là il ne reste plus grands chose à faire cette distribution fonctionnant en live nous n'avons pas besoin d'utilisé un VHD important ( Virtual Hard Drive )
1go de ram est amplement suffisant une fois configuré et parfaitement fonctionnel nous allons analysé et donc réalisé un core dump de notre symbolique
giga de ram
J'ai donc sélectionné l'outils memdump , il ne reste plus qu'a lancé le core dump , libre à vous de modifié la commande ou d'essayé des autre
options c'est un peu le but en même temps , comme vous pouvez le constaté sur la capture d'écran nous pouvons donc agir sur la mémoire du
noyaux au lieu de la mémoire physique voir les deux puisque que dans ce genre d'utilitaire les options peuvent s'enchaîné un peu comme...Reaver,
quand je vous avait dis que les options sont très vaste je ne mentais pas
Nous allons donc testé le memdump avec l'options -S
La commande rentré est donc :
Code:
memdump -s 1024
Une belle bouillies de caractère incompréhensible n'est ce pas ? voyons si on peut amélioré ça
Code:
memdump -s 0 -m monpremierdump
je pense que le problème de lisibilité vient déjà du faite que l'affichage en VM est assez petit et sans doute un problème d'encodage quoi qu'il en soit c'est à creusé
Bien maintenant que nous avons testé le memdump , testons un dernier tools pour la route maintenant que nous avons pus testé un petit peu les fonctionalité qu'offre
memdump , testons un utilitaire de disque dur ( Guymager ) ce coût ci en GUI peut être que certain d'entre vous n'aime pas bien le terminal pure et dur , c'est pourquoi
pour ce suivant test il y a une GUI
Guymager , permet donc de cloné et acquérir un disque dur dans le cas d'une véritable enquête la première chose qui est faite c'est une copies du disque dur original de façons à
pouvoir l'analysé sans risqué de compromettre des données
On peut même également choisir la destination du disque cloné et plein d'autre truc à remplir le numéro de dossier , le numéro de preuve etc... cette utilitaire est vraiment très complet ( je me demande si dans ce genre de situation un stockage sur réseaux est possible car bon cloné un véritable disque dur de 2 téra il faut en avoir le double pour le stocké , )
III°) Conclusion
Nous pouvons conclure avec toute les options et tous les paquets disponible dans cette distribution dédié à la forensique cette distribution ce classe
donc première dans ça catégorie aucune autre distribution à ma connaissance n'intègre autant de paquet dédié et d'options , elle est facile à prendre en main.
En revanche les outils qu'elle embarque sont assez farfelus , il faut vraiment avoir le temps et surtout être véritablement passionné par la forensic pour réussir à maîtrisé tous les
outils présent dans celle ci sur le bout des doigts , elle s'adresse donc à des personnes avisé dans cette matière là ( ou bien encore des entreprise de sécurité et d'analyse )
mais ce fût vraiment un plaisir de l'utilisé en machine virtuelle dans cette configuration suivante un go de ram et 1 cœurs je n'ai décelé aucun mais vraiment aucun lag elle est resté fluide en tous temps j’espère que ce test vous aura plus si vous avez des remarques et des conseils , je prend volontiers !