APPLE

Administration et utilisation des ordinateurs et périphériques de la firme à la pomme Suite »

SECURITE INFO

Documents relatifs à la sécurité informatique, principalement basés sur les solutions open-source Suite »

INVESTIGATION NUMERIQUE

Articles en relation avec le monde du forensic : investigation numérique et lutte contre la cyber criminalité Suite »

RESEAU

Tous les articles traitant du réseau, que ce soit sous Linux, windows ou Mac. Suite »

LINUX

Documentations et tutoriaux sur Linux. Solutions techniques basées open-source. Suite »

JUSTICE

Arrestations et enquêtes judiciaires, décisions de justice, dans le domaine de la cybercriminalité Suite »

 

Categorie : Forensic

Effacement chimique d’un disque dur

Lors des cours d’initiation à l’investigation informatique, la question qui revient souvent est la problématique de l’effacement des données.

Un formatage permet-il d’effacer efficacement les données d’un disque ?

Bien évidemment non. Par contre, d’autres méthodes peuvent se révéler plus efficaces 😉

View post on imgur.com

Encase Forensic 8 – sortie fin juin

Aujourd’hui, lors de la grand messe annuelle à Vegas, à laquelle je n’ai pas eu le plaisir d’assister cette année, Guidance Software a annoncé la sortie fin juin de la nouvelle version du logiciel d’investigation numérique Encase Forensic v8.

Parmi les améliorations, GSI a mis en avance une amélioration de la gestion des cas, du reporting, et aussi l’intégration d’une nouvelle fonctionnalité, les hashes du projet VIC, qui permettent de référencer, sur la base de signatures numériques les victimes mineures d’abus sexuels. De cette façon les investigateurs pourront se concentrer sur l’identification des victimes qui ne sont pas déjà connues.

Encase 8 intégrera également de nouvelles conditions, un support accru des artéfacts internet, et verra ses fonctionnalités de création de signets améliorée.

CapTipper: Rejouer le trafic HTTP malveillant

CapTipper est un outils programmé en python pour analyser, explorer et retour le trafic HTTP, et notamment le trafic malveillant.

Il met en place un serveur web qui se comporte exactement comme le serveur web d’origine, celui dont le trafic HTTP se trouve dans les fichiers PCAP. Il met à votre disposition des outils interactifs permettant d’analyser ce trafic, d’avoir accès aux objets que les fichiers PCAP contiennent et d’isoler les conversations.

Exemple d’utilisation et téléchargement : GitHub – omriher/CapTipper: Malicious HTTP traffic explorer

Extraire la clé de chiffrement de volume de Bitlocker sous Volatility

Ce plugin pour l’environnement Volatility, qu’on ne présente plus peut vous permettre d’extraire la clé de chiffrement de volume de Bitlocker (FVEK) depuis la mémoire du système d’exploitation ou les fichiers de mise en veille prolongée.

Les systèmes supportés sont pour l’instant : Windows 10 (en cours), Windows 8.1, Windows Server 2012 R2, Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Vista

téléchargement sur github : https://github.com/elceef/bitlocker

Rechercher les traces de meterpreter en mémoire avec Volatility

Désireux de voir si il est possible de mettre en évidence, au niveau forensic, la compromission d’une machine par l’intermédiaire de metasploit, je me suis penché sur la question.

La recherche de traces en mémoire de meterpreter est assez ardue car le processus peut migrer dans des processus annexes étant déjà en cours d’exécution sur la machine, ou en lançant des processus fils.

Poursuivant mes recherches, je suis tombé sur un article fort intéressant que je voulais partager avec vous. Pour ceux qui veulent « mettre les mains dans le cambouis », je vous conseille la lecture de ce document et la mise en pratique en mettant en place le lab requis.