L'autopsie est un logiciel utilisé pour l'analyse médico-légale des images de disque dur. Il s'agit d'une interface gratuite et open source qui vous permet de rechercher et d'analyser des partitions ou des images disque.
L'outil Autopsy peut fonctionner sur différents systèmes d'exploitation tels que :
- Linux
- les fenêtres
- Mac OS X
- BSD gratuit
Autopsy est une plateforme d'analyse médico-légale numérique et l'interface graphique Sleuthkit et d'autres outils médico-légaux numériques. Il est utilisé par les gouvernements et les entités publiques et privées, par les forces de sécurité telles que la police et l'armée, ainsi que par les professionnels et les informaticiens pour enquêter sur ce qui s'est passé sur un ordinateur. Après un incident tel qu'une attaque ou une panne, vous pouvez parcourir les périphériques de stockage pour récupérer des fichiers, rechercher des manipulations du système, récupérer des photos, des images ou des vidéos.
Nous devons d'abord installer Autopsy sous Linux, il vient dans les référentiels, sous Windows, vous pouvez le télécharger à partir d'ici :
TÉLÉCHARGER AUTOPSIE
Dans ce tutoriel, nous verrons le Installation d'autopsie sous Linux. Nous ouvrons une fenêtre de terminal et tapons les commandes suivantes :
1. Nous installons le framework TSK
sudo apt-get install sleuthkit2. Ensuite, nous installons Autopsy
apt-get autopsieLe framework TSK contient l'ensemble de bibliothèques et de modules qui peuvent être utilisés pour développer des plugins et des commandes pour les compétences en criminalistique informatique. Le framework TSK est une interface de ligne de commande qui utilise différents modules pour analyser les images disque.
Ensuite, nous pouvons démarrer l'application à partir d'une fenêtre de terminal en utilisant la commande :
autopsie sudo
Ensuite, nous allons dans n'importe quel navigateur et écrivons l'URL http: // localhost: 9999 / autopsie que Autopsy nous dit qu'il fonctionnera comme un serveur tant que nous le ferons fonctionner.
Avant de continuer nous avons besoin d'avoir l'image de certains appareils, nous pouvons soit faire une image de notre disque ou nous pouvons obtenir des exemples d'images sur Internet, par exemple sur le site http://dftt.sourceforge.net/ nous pouvons télécharger plusieurs images qui présentent différents problèmes à analyser.
Nous pouvons télécharger par exemple certaines des images suivantes.
Recherche JPEG.webp : Cette image de test est un système de fichiers Windwos XP NTFS avec 10 images jpg.webp dans différents répertoires. Les images incluent les fichiers avec des extensions incorrectes, les images intégrées dans le zip et les fichiers Word. Ici, nous pouvons travailler sur la récupération d'image. Nous pouvons télécharger la recherche JPEG.webp à partir d'ici.
NTFS Undelete : Cette image de test est un système de fichiers NTFS de 6 Mo avec huit fichiers supprimés, deux répertoires supprimés et un autre flux de données supprimé. Les fichiers vont des fichiers résidents aux fichiers de cluster individuels et à plusieurs fragments. Aucune structure de données n'a été modifiée dans ce processus pour contrecarrer la récupération. Ils ont été créés sous Windows XP, supprimés sous XP et imagés sous Linux. Nous pouvons télécharger NTFS Undelete à partir d'ici.
On peut aussi créer une image disque à partir de Linux on découvre quelles sont les partitions avec les commandes suivantes :
sudo fdisk -l
Par exemple, pour faire une copie exacte de la partition de démarrage, que nous pouvons utiliser comme fichier de sauvegarde, nous utilisons les commandes suivantes :
dd if = / dev / partition-to-save of = /home/directory/copy-partition.imgDans ce cas ce sera la partition principale :
dd if = / dev / sda1 of = / home / myuser / partition-sda1-HDD.imgNous pouvons également utiliser un logiciel tel que Clonezilla qui est un programme pour créer des partitions et des images disque, des copies de sauvegarde et une récupération du système à partir d'une sauvegarde.
Une fois que nous avons l'image pour mener à bien notre enquête médico-légale, nous allons à l'autopsie, pour ce tutoriel, nous utiliserons NTSF Undelete.
L'interface Autopsy nous permet d'analyser plusieurs cas avec différentes images et même plusieurs chercheurs, puis on clique sur le bouton Nouveau cas ou alors Nouveau cas.
L'écran s'ouvrira pour créer un cas où nous attribuerons le nom du cas, sans espaces puisque ce nom deviendra un dossier où seront stockées les informations recueillies dans l'enquête. Dans ce cas le nom sera EmpresaSA, puis nous ajouterons une description du cas, nous ajouterons également les noms des enquêteurs en charge du cas, puis nous cliquons sur Nouveau cas.
Nous verrons un écran où nous sommes informés qu'un dossier pour le boîtier et un répertoire de configuration ont été créés.
Ensuite, nous allons créer l'hôte, c'est-à-dire que nous allons enregistrer les données de l'équipement ou de l'image à étudier.
Nous ajouterons le nom d'hôte, une description, l'heure gmt en cas de provenance d'un autre pays, nous pouvons également ajouter l'heure de décalage par rapport à l'ordinateur et il existe des bases de données qui contiennent des hachages de fichiers malveillants connus.
Si nous voulons utiliser une base de données, nous pouvons utiliser le NIST NSRL pour détecter les fichiers connus. La base de données de la National Software Reference Library qui contient des hachages qui peuvent être bons ou mauvais selon la façon dont ils sont classés.
Par exemple, l'existence d'un certain logiciel peut être reconnue et Autopsy traite les fichiers trouvés dans le NSRL comme connus et bons ou ne le reconnaît pas et ne précise pas s'il est bon ou mauvais. Nous pouvons également implémenter une base de données qui ignore les fichiers connus.
A la fin on clique sur AJOUTER UN HTE et nous allons à l'écran qui nous montre, le répertoire de cet hôte, dans le même cas, nous pouvons avoir plusieurs hôtes à analyser.
Ensuite, nous accédons à la liste des hôtes pour ce cas particulier et ainsi commencer la recherche sur un hôte ou vérifiez un hôte.
Nous cliquons sur notre hôte PC031 puis nous cliquons sur d'accord, un écran s'ouvrira où nous ajouterons l'image hôte, pour cela nous cliquons sur AJOUTER UN FICHIER IMAGE.
Ensuite, nous allons chercher l'image en fonction du dossier où nous l'avons :
Nous pouvons faire un clic droit et sélectionner l'option Copier, puis nous allons à l'écran ajouter un hôte et nous faisons un clic droit et l'option Coller cela ajoutera le chemin du fichier image, nous pouvons également l'écrire.
De plus nous indiquerons le type d'image s'il s'agit d'un disque ou d'une partition et la méthode d'importation, l'image peut être importée dans Autopsy depuis son emplacement actuel en utilisant un lien symbolique, en la copiant ou en la déplaçant.
Le fichier image doit avoir l'autorisation de lecture sinon il donnera une erreur lorsque nous cliquerons sur SUIVANT (Prochain)
Dans ce cas, nous utilisons l'image en créant une copie, si nous utilisons le lien symbolique qui est le lien vers l'endroit où se trouve l'image, nous pouvons avoir le problème que nous pourrions endommager l'image, si nous la copions, une copie sera faite dans le répertoire de cas, mais nous occuperons plus de place, rappelez-vous que les fichiers que nous utilisons sont des démos qui occupent environ 150 Mo, une image réelle d'un ordinateur ou d'un serveur pourrait occuper plusieurs gigaoctets.
Ci-dessous, il nous montre quelques détails de l'image que nous avons ajoutée et nous permet de calculer ou d'ignorer l'intégrité au moyen de somme de contrôle MD5.
Enfin, nous cliquons sur AJOUTER o Ajouter pour aller à l'écran final où il nous dit que le processus est terminé et nous appuyons d'accord pour accéder à l'écran hôte de ce cas.
Ensuite, nous sélectionnons l'hôte dans ce cas, nous en avons un et cliquez sur Analyser pour lancer l'analyse de l'image. L'écran d'analyse s'ouvre et nous allons Détails de l'image pour afficher les informations système.
Dans ce cas, nous pouvons voir qu'il s'agit d'une partition Windwos XP NTFS et d'autres données sur la taille et les secteurs du disque. Ensuite, nous pouvons aller à Analyse de fichier, pour afficher la structure des fichiers et des répertoires.
Nous voyons dans les répertoires le répertoire de démarrage qui contient les journaux de démarrage de cette partition, si nous cliquons, nous verrons le journal et nous pouvons le voir dans différents formats tels que ASCII, hexadécimal et texte, dans ce cas, nous voyons l'erreur suivante :
Une erreur de lecture de disque s'est produite - NTLDR est manquant
Le fichier Windows XP NTLDR est un composant essentiel du secteur de démarrage et du démarrage de Windows XP. L'ordinateur ne démarrera pas, il ne finira pas de démarrer si ce fichier est endommagé.
Ensuite, si nous cliquons sur le lien dir dans la colonne Taper, nous pouvons naviguer dans les répertoires et voir les fichiers supprimés pour essayer de les récupérer.
L'informatique judiciaire permet l'identification et la découverte d'informations pertinentes dans les sources de données telles que des images de disques durs, de clés USB, d'instantanés de trafic réseau ou de vidages de mémoire d'ordinateur.
En résumant tout ce qui est fait avec Autopsy, nous pouvons rouvrir un dossier car ce que nous faisons est enregistré ou créer un nouveau dossier, où un dossier contient plusieurs hôtes ou ordinateurs ou partitions d'une unité logique qui contiendra tout ce qui concerne l'enquête.
Par conséquent, lors de la création d'un dossier, des informations telles que votre nom d'identification et la personne qui enquêtera sur les données sont saisies. L'étape suivante consiste à associer au cas un ou plusieurs hébergeurs, qui correspondent aux images que nous allons soumettre à l'analyse, ou à une image médico-légale préalablement acquise de l'ordinateur ou du serveur à analyser.
Ensuite, nous fermons ce cas en cliquant sur Fermer puis sur Fermer l'hôte, et nous ajouterons un nouvel hôte dans le cas, pour cela nous avons besoin de l'image Recherche JPEG.webp, image que nous avons mentionné plus tôt.
Nous cliquons sur AJOUTER UN HTE Pour ajouter un nouvel hôte que nous allons analyser, dans ce cas, nous rechercherons les images perdues ou endommagées sur un ordinateur dans la zone de conception graphique.
Après avoir ajouté l'hôte, nous devons ajouter l'image comme nous l'avons fait auparavant.
Après avoir terminé le processus, nous allons à la liste des hôtes disponibles pour ce cas.
Ensuite, nous sélectionnons l'hôte à étudier et cliquons sur d'accord.
Puis on clique sur Analyser pour démarrer la vue de partition. Dans ce cas, il s'agit d'une partition Windows XP, avec un système de fichiers NTFS avec un total de 10 images JPG.webp dessus. Les images incluent des fichiers avec des extensions incorrectes, des images intégrées dans des fichiers zip et Word, et des bogues que nous devons trouver et réparer pour récupérer ces fichiers.
Le but de cette image de partition est de tester les capacités des outils automatisés qui recherchent des images JPG.webp.
Nous parcourons les répertoires et nous pouvons voir un bouton dans la colonne de gauche ci-dessous SUPPRIMER TOUS LES FICHIERS pour nous montrer tous les fichiers supprimés.
Nous pouvons également exporter et télécharger des fichiers pour les analyser ou les récupérer en cliquant sur le lien que nous voulons télécharger, puis nous cliquons sur Exportation
À l'intérieur, nous trouverons une image et des fichiers de données. Nous pouvons également rechercher des mots de Recherche par mot clé comme des extensions de fichiers comme doc ou des programmes qui peuvent fonctionner comme du crack, un virus ou tout ce qui peut sembler étrange.
Tous les résultats obtenus peuvent être exportés vers des documents HTML en cliquant sur les liens Reportage de chaque type de vue ASCI, Hexadécimale ou texte, pour la présentation d'un rapport à nos clients ou pour tenir une base de données des incidents.
Avez-vous aimé et aidé ce tutoriel ?Vous pouvez récompenser l'auteur en appuyant sur ce bouton pour lui donner un point positif
