Lorsque l’on travaille dans le milieu du « computer forensic », une des étapes fondamentales est la copie des supports numériques de stockage. Il est en effet primordial de pouvoir copier des disques durs et des clés usb (entre autres) en assurant l’intégrité des données qui sont contenues sur ces supports. Il est essentiel que le support original ne fasse l’objet d’aucune modification pendant l’étape qui consiste à le dupliquer.

Copie logique ou copie physique

Comme vous le savez sans doute déjà, une copie logique n’a que très peu de signification dans le domaine du « forensic ». Effectivement elle n’est qu’une simple copie de fichiers et ne permet pas de conserver toute l’information contenue sur le support (memory slack, file slack, données contenues dans les secteurs non alloués). De plus, les informations d’horodatage peuvent être modifiées par cette copie logique.

Pour cette raison, on privilégie habituellement la copie physique (au niveau secteur) qui permet de conserver toute cette information et de cloner un disque à l’identique.

Si une copie logique peut se faire par l’intermédiaire de l’explorateur de fichiers sous windows ou sous Linux, la copie physique doit être effectuée par un utilitaire ou un matériel spécifique.

Des utilitaires gratuits sous Linux

Le but de cet article n’est pas de vous parler des outils matériels de copie disponibles sur le marché mais plutôt de vous orienter vers l’Open-source.

L’objectif de mon propos aujourd’hui est donc de vous montrer comment utiliser une des dernières distributions ubuntu en date (8.10 Intrepid Ibex) pour vous aider à effectuer gratuitement et de manière sûre vos copies de supports numériques. Même si cet article s’appuie sur la version 8.10, il est bien évident qu’il est adaptable sans problème aux versions plus récentes d’Ubuntu.

L’outil le plus utilisé sous Linux pour effectuer des copies physiques de support est sans nul doute l’utilitaire dd. Une version plus évoluée nommée dcfldd existe également.

Tous les nouveaux venus dans le domaine de l’investigation numérique sont souvent rebutés par ces utilitaires en mode console, très peu conviviaux, quoique très puissants. Alors pourquoi ne pas opter pour l’interface graphique AIR (Automated image and restore) qui va faciliter l’utilisation de dd ou dcfldd. Vous n’aurez pas à connaître tous les paramètres de ces deux commandes puisque quelques clics suffiront à les faire fonctionner. Bien évidemment, je ne peux qu’encourager ceux qui veulent continuer avec le mode console

Installation de air sous ubuntu

Configuration des dépôts

La première chose à faire pour installer air sous Ubuntu est de s’assurer que les dépôts sont correctement configurés. Pour ceci, il faut se rendre dans le menu  “systeme/administration/source de mise à jour” et cocher “community maintained open source software”

De cette façon, tous les dépôts seront accessibles et vous n’aurez pas de problèmes de paquets introuvables pendant les étapes suivantes.

Installation des packages pré-requis


aptitude install perl-tk
aptitude install cryptcat
aptitude install dcfldd
aptitude install sharutils


Configuration des systèmes de fichiers NTFS

Cette étape n’est pas obligatoire. Néanmoins, elle peut se révéler très utile puisqu’elle installe un certain nombre d’outils qui permettent de formater un disque en NTFS par exemple ou qui autorisent/interdisent l’écriture sur les périphériques NTFS internes ou externes.

aptitude install ntfs-config ntfsprogs

Télécharger AIR

Une fois que tous ces programmes sont installés, nous pouvons passer à l’installation de AIR proprement dite.

Air peut être téléchargé sur le site suivant : http://air-imager.sourceforge.net

Installer AIR

Il est nécessaire de décompacter le fichier archive et d’exécuter le programme d’installation qui le fera pour vous.

tar xvzfp air-1.2.8.tar.gz
cd air-1.2.8
sudo ./install-air-1.2.8


Exécuter AIR

AIR peut maintenant être exécuté au moyen de la commande suivante :

sudo air

Contrôler le montage automatique des périphériques USB

Enfin, pour pouvoir décider soi même si un périphérique USB que l’on vient de brancher doit être monté ou non sur la machine, une petite modification du système s’impose.

Dans le menu SYSTEME/ADMINISTRATION/AUTORISATIONS, rechercher l’option org –> free desktop –> hal –> storage –> mount filesystem from removable drives.

Modifier l’option console active en “authentication one shot”

A partir de maintenant, à chaque fois qu’un périphérique sera branché, la machine demandera la saisie du mot de passe administrateur.

Si le mot de passe est entré correctement, le périphérique sera monté et vous pourrez explorer son contenu. En général ce sera le cas pour les disques sur lesquels on stockera les images.

Si le mot de passe n’est pas tapé, le périphérique ne sera pas monté sur le système. On utiisera ce mode lorsque le périphérique que l’on vient de connecter est un périphérique à copier physiquement. En effet, dans ce cas, nul besoin de le monter. Il suffit d’accéder au périphérique matériel pour pouvoir le copier physiquement (ex: /dev/sdb).

Bonnes copies de supports .

MAJ pour Ubuntu 9.10

Ubuntu 9.10 ne contient plus d’interface graphique pour la configuration de PolicyKit.

Il est maintenant nécessaire de modifier les paramètres qui régissent la politique de montage des lecteurs manuellement, avec un éditeur de texte, que ce soit VI ou bien un éditeur graphique.

sudo gedit /usr/share/polkit-1/actions/org.freedesktop.devicekit.disks.policy

Il faut modifier la ligne la ligne allow_active de la rubrique org.freedesktop.devicekit.disks.filesystem-mount

<action id="org.freedesktop.devicekit.disks.filesystem-mount">
 <description>Mount a device</description>
 <description xml:lang="da">Montér en enhed</description>
 <description xml:lang="de">Gerät einhängen</description>
 <message>Authentication is required to mount the device</message>
 <message xml:lang="da">Autorisering er påkrævet for at montere et fil system</message>
 <message xml:lang="de">Zugriffsrechte werden benötigt um das Gerät einzuhängen</message>
 <defaults>
 <allow_any>no</allow_any>
 <allow_inactive>no</allow_inactive>
 <allow_active>yes</allow_active>
 </defaults>
 </action>

par

<action id="org.freedesktop.devicekit.disks.filesystem-mount">
 <description>Mount a device</description>
 <description xml:lang="da">Montér en enhed</description>
 <description xml:lang="de">Gerät einhängen</description>
 <message>Authentication is required to mount the device</message>
 <message xml:lang="da">Autorisering er påkrævet for at montere et filsystem</message>
 <message xml:lang="de">Zugriffsrechte werden benötigt um das Gerät einzuhängen</message>
 <defaults>
 <allow_any>no</allow_any>
 <allow_inactive>no</allow_inactive>
 <allow_active>auth_admin</allow_active>
 </defaults>
 </action>

MAJ pour Ubuntu 10.04

sudo gedit /usr/share/polkit-1/actions/org.freedesktop.udisks.policy

Il faut modifier comme pour la 9.10, la ligne la ligne allow_active de la rubrique org.freedesktop.udisks.filesystem-mount

sudo gedit /var/lib/polkit-1/localauthority/10-vendor.d/com.ubuntu.desktop.pkla

Il faut ensuite insérer deux lignes entre : Action=org.freedesktop.udisks.filesystem-*;org.freedesktop.udisks.drive-ata-smart*
et ResultActive=yes

ResultAny=auth_admin
ResultInactive=yes

Il faut ensuite redémarrer la policykit pour que les modifications soient prises en compte. Le mieux est de rebooter.

MAJ dc3dd pour les nouvelles Ubuntu

De plus, la nouvelle version de AIR n’utilise plus DCFLDD mais DC3DD, dont le paquet n’existe pas au jour d’aujourd’hui pour Ubuntu.

Il est donc nécessaire de le télécharger et de compiler le logiciel DC3DD manuellement, après l’avoir décompressé.


cd Téléchargements
tar xvzfp dc3dd-6.12.3.tar.gz
cd dc3dd-6.12.3
./configure
make
sudo make install


Vous pouvez ensuite exécuter air pour effectuer vos copies.

<action id="org.freedesktop.devicekit.disks.filesystem-mount">
 <description>Mount a device</description>
 <description xml:lang="da">Montér en enhed</description>
 <description xml:lang="de">Gerät einhängen</description>
 <message>Authentication is required to mount the device</message>
 <message xml:lang="da">Autorisering er påkrævet for at montere et fil system</message>
 <message xml:lang="de">Zugriffsrechte werden benötigt um das Gerät einzuhängen</message>
 <defaults>
 <allow_any>no</allow_any>
 <allow_inactive>no</allow_inactive>
 <allow_active>yes</allow_active>
 </defaults>
 </action>

<action id="org.freedesktop.devicekit.disks.filesystem-mount">
 <description>Mount a device</description>
 <description xml:lang="da">Montér en enhed</description>
 <description xml:lang="de">Gerät einhängen</description>
 <message>Authentication is required to mount the device</message>
 <message xml:lang="da">Autorisering er påkrævet for at montere et filsystem</message>
 <message xml:lang="de">Zugriffsrechte werden benötigt um das Gerät einzuhängen</message>
 <defaults>
 <allow_any>no</allow_any>
 <allow_inactive>no</allow_inactive>
 <allow_active>auth_admin</allow_active>
 </defaults>
 </action>

Un des plus utilisés à l’heure actuelle est skype, avec lequel l’utilisateur peut téléphoner, chatter de manière écrite, ou encore transmettre et recevoir des fichiers. Les communications s’effectuant par Skype étant chiffrées, les logs de ce logiciel peuvent revêtir une importance prépondérante pour l’investigateur numérique.

Vous êtes peut être également tombé sur ces fameux fichiers de logs au format .DBB. Dans Windows XP, ils sont habituellement situés dans le répertoire C:\Documents and Settings\[PROFIL]\Application Data\Skype\[UTILISATEUR SKYPE] alors qu’ils se trouvent sour C:\Documents and Settings\[PROFIL]\AppData\Roaming\Skype\[UTILISATEUR SKYPE] sous windows Vista.

S’ils sont illisibles en texte brut au premier abord, ils n’en sont pas pour autant moins exploitables à l’aide de logiciels spécialisés.

J’ai découvert dernièrement (il ne l’est peut être pas pour vous)  un logiciel librement téléchargeable et sans limitation pour exploiter ces fichiers .DBB. Ce programme nommé SkypeLogView permet de charger les fichiers .DBB et d’afficher les appels reçus/émis, les chats, et les transferts de fichiers effectués. On peut ensuite exporter les informations au format texte, html, csv (excel) et xml.

Je voulais partager avec vous ce soft que j’estime être un must dans la trousse à outils de l’investigation numérique :

http://www.nirsoft.net/utils/skype_log_view.html

Comme le logiciel n’était pas disponible en français, j’ai pris la liberté d’en faire une traduction, disponible sur le site de l’éditeur nirsoft.net (en bas de la page skype_log_view). Le lien direct est le suivant : http://www.nirsoft.net/utils/trans/skypelogview_french.zip

N’hésitez pas à me faire part de l’utilité que vous aurez trouvé à ce programme. Si vous avez d’autres logiciels équivalents, n’hésitez pas non plus à le faire savoir en commentaire.

J’ai d’abord cru à un problème de fonctionnement des disques en question. Mais quelques tests ont permis de mettre en évidence un fonctionnement un peu singulier des bloqueurs tableau.

En effet, certains disques durs IDE (de plusieurs marques différentes) ne sont pas vus par le bloqueur tableau T35es (Le voyant IDE detect ne s’affiche même pas). Il est important dans ce cas là, de vérifier le paramétrage du disque dur. Effectivement, le disque dur étant connecté seul sur la nappe du tableau, il pourrait paraître évident de le configurer en maître voire en esclave. Or, c’est justement ce point qui pose problème.

Un exemple avec ce disque Maxtor Maxline plus II de 250GB.

Le tableau de configuration des jumpers sur le disque est le suivant :

On voit donc précisément que si aucun cavalier n’est en place, le disque est en mode esclave (no jumper= DS Slave). Si le jumper se trouve sur les deux premières broches le disque est en maître (DS Master). Et enfin, si le cavalier se trouve sur les deux broches suivantes le disque est en mode Cable Select (CS enabled).

J’ai découvert le disque monté dans la machine dans le mode esclave. Branché tel quel, il n’a pas été reconnu par le tableau. J’ai ensuite passé le disque en maître, le tableau ne l’a toujours pas reconnu.

J’ai alors tenté une configuration en mode cable select et, comme par enchantement, plus de problème avec ce disque

Comme j’ai reproduit cette manipulation plusieurs fois, j’ai pensé qu’il était bon de vous suggérer d’adjoindre à votre bloqueur tableau un petit cavalier qui pourrait se revéler fort utile.

Ayant été confronté à ce problème, j’ai pris un peu de temps pour générer les empreintes numériques MD5 des systèmes d’exploitation XP, Vista et de quelques logiciels courants qu’on trouve habituellement sur la plupart des disques durs. Elles sont disponibles en téléchargement au format X-ways forensic (MD5 plain text).

Les logiciels hashés au 27 février 2009 sont :

• Windows XP professionnel
• Windows Vista intégrale
• Adobe Acrobat reader 8
• Microsoft office 2003 professionnel
• Microsoft office 2007
• Daemon tools 4.3
• Ulead DVD movie factory
• Logiciels d’origine pour laptops toshiba
• Logiciels et pilotes ATI

Bien évidemment, ça fait très peu par rapport à l’ensemble des logiciels existants. Quoi qu’il en soit, l’exclusion de tous ces hashes lors de l’examen d’un disque dur standard m’a souvent permis de diviser par deux le nombre de fichiers à examiner. Je vous encourage donc fortement à les télécharger et à les inclure dans votre logiciel d’investigation favori. Je tâcherai d’enrichir régulièrement cette base de hashes pour y inclure des logiciels supplémentaires. Si vous avez des idées quant aux logiciels à ajouter, n’hésitez pas à le suggérer en commentaire.

Quoique plusieurs formats de bases de données soient utilisables en fonction du logiciel d’investigation employé (NSLR, hashkeeper), la plupart d’entre-eux sont capables d’importer des hashes au format texte brut. Si tel n’était pas le cas, des logiciels de conversion de format sont téléchargeables librement sur Internet.

Télécharger hashes-md5-fr-090227.zip (1Mo)