Please enable JavaScript.

Coggle requires JavaScript to display documents.

Forensics - Coggle Diagram

- - - - Libpcap > Libpcap est une bibliothèque UNIX C qui fournit une API pour capturer et filtrer les trames de couche liaison de données à partir d’interfaces réseau arbitraires
      - Winpcap > WinPcap est une bibliothèque basée sur libpcap conçue pour Windows.
      - Tcpdump Tcpdump capture le trafic bit par bit lorsqu’il traverse n’importe quel support physique base sur libcap
      - Wireshark: > un outil graphique open source basé sur libpcap conçu pour capturer, filtrer et analyser le trafic grâce à l’interface graphique principalement utilisée pour l’inspection manuelle/humaine
    - - le trafic réseau est acquis directement sur l’ordinateur cible
        ce processus peut modifie l’environnement !!!!
      - par exemple en utilisant tcpdump, WireShark, ... et est stocké dans un fichier qui est ensuite: analysé sur l’ordinateur cible ou transféré sur l’ordinateur de l’enquêteur
    - - Intercepter le trafic sur câbles
        
        Câble coaxial
        Fibre Optique
        Tap enligne
        Tap Vampire
      - Interception avec concentrateurs
      - Interception avec commutateurs
  - - - Recherche de valeurs binaires/hexadécimales/ASCII communes géné- ralement associées à un protocole spécifique
      - Exploiter les informations dans le protocole d’encapsulation
      - Tirez parti du numéro de port TCP/UDP: dont beaucoup sont associés aux services standard par défaut
      - Analyser la fonction du serveur source ou de destination spécifié par l’adresse IP ou le nom d’hôte
      - Test de la présence de structures de protocole reconnaissables
    - - (HTTP)
        
        Utilisé pour accéder à des ressources sur le web
      - (SMTP)
      - (DHCP)
        
        Protocole de la couche pour la configuration automatique de l’attribution d’adresses: IP, gateway, serveurs DNS, . . .
      - (DNS)
        
        fournit une base de données hiérarchique distribuée pour résoudre les noms qui représentent les adresses numériques IPv4 32 bits ou 128 bits pour IPv6
  - - - Une séquence de paquets envoyés depuis une source particulière vers une destination particulière, unicast, anycast ou multicast que la source désire étiqueter comme un flux.
        
        Suivre un flux TCP
        
        Lister les conversations > Tshark
        
        Exporter les fichiers et données
  - - - Énumération:
        
        Scan de ports
        
        Types
        
        scans de ports TCP
        
        TCP handshake
        
        Stealth scan
        
        Ports fermés
        
        Ports ouverts
        
        scan TCP connect ()
        
        Outils
      - Exploitation:
      - Post exploitation:
      - reconnaissance
    - - Shells
        
        Bind shell
        
        Reverse shell
      - DoS
      - Attaque Heartbeat
      - Scan de ports
- - - - nombres magiques
        PDF 0x2550 4446
        EXE 0x4D5A
        ...
      - Outils pour détection de type de contenu
        
        Unix/Linux
        file
        list de nombre magic > /etc/magic or /usr/share/mixc/magic
        
        Windows
        TrID
      - Si la structure clé n’est pas disponible?
        chercher autres caracteristiques
  - - - hachoir-metadata
- - - - Modules chargés
        
        – pilotes de périphérique
        – pilotes de système de fichiers
        – pilotes réseau
        – appels système personnalisés
        – interpréteur exécutable
      - Toutes les structures et leurs descripteurs
        
        – liste chaînée de processus (actifs)
        – les connexions de réseau
        – IO cachés
        – timers
      - Parfois même d’anciens processus qui ne sont plus présents dans la RAM
    - - etat des fenetres et des composants
        surface graphique dAttacke
    - - Registre ::
        
        HKLM HKEY_LOCAL_MACHINE /Software du registre - également connu sous le nom HKLM /Software - contient une grande partie des données de configuration pour le logiciel installé sur l'ordinateur. L'utilisation de cette section de la base de registre , vous pouvez modifier certains de ces paramètres ainsi que supprimer les anciennes informations du Registre toujours présente à partir du logiciel qui a été désinstallé .
      - système de fichiers
        
        les métadonnées des fichiers et même les petits fichiers complets sont dans la RAM
      - observateur des evenments > activité / événement
    - - l’historique Bash > stocké sur disque il peut être désactivé mais reste en RAM
      - dmesg (display msg)
        
        les pilotes envoient des messages et sont stockés dans un
        tampon du noyau (kernel buffer). Plus tard ils sont stockés dans un journal sur le disque
        Further Explanations >> Le noyau conserve ses journaux dans un tampon circulaire.(kernel ring buffer) La raison principale en est que les journaux du démarrage du système sont enregistrés jusqu'à ce que le démon syslog ait la possibilité de démarrer et de les collecter. Autrement, aucun journal ne serait enregistré avant le démarrage du démon syslog. Le contenu de cette mémoire tampon circulaire peut être visualisé à tout moment à l'aide de la dmesg commande.
        
        Kernel buffer ?
      - Tampons reseau / Buffer > accès aux messages actifs
    - - Linux (ps -ale)
        
        F
        S
        UID
        PID
        -C
        PRI
        NI
        ADDR
        SZ
        WCHAN
        TTY
        Time
        CMD
      - Windows (Task Manager)
        
        Name
        User Name
        CPU Usage
        Memory
        Description
    - - IP / port / source destination
        heure douverture et fermeture de connections
        requetes DNS (connections recents)
        Historique du navigatuer
        reniflement de communication peut etre detecte
  - - - Aquisiion de memoire
        
        VM
        
        No > Running ?
        
        No
        
        Sources complémentaires sur disque
        
        Fichier d’échange:(Swap files)
        
        2 more items...
        
        Crash dump
        
        1 more item...
        
        Fichier d’hibernation
        
        1 more item...
        
        Yes > Got Root ?
        
        Yes > Software
        
        Remote
        Cost
        Format
        CLI
        Real-time
        
        No > Hardware
        
        .. > 4GB RAM?
        
        2 more items...
        
        Yes
        
        Snapshot
        Clone
        Host Disk
        Introspection
    - - Volatitliy
      - WinDbg > outil officiel et gratuit de Microsoft pour le débogage
      - Mandian Redline > Une attention particulière est portée au flux chronologique et au filtrage pour aider à trouver le moment de l’infection et des fichiers infectés
- - - - Pour simplifier l’organisation et la gestion, toute mémoire
        permanente est divisée en secteurs > blocs de 512 octets
        
        premier secteur de la memoire
        
        MBR
        
        Le premier secteur de la mémoire
        permanente accueille le MBR
        MBR [bootstrap code 446 (14 lignes - 2 octets) + table de partition 4 * 16 bytes(paritioni) + boot signature 2 octeets 55 AA ]
        
        Partition
        part du disk physique > disk logique plue potite talle permet de separer lOS des donnes / Different OSs / Swap
        dispose de 4 entrees pour les partitions dune talle de 16 octets chacune > permet de savoir la partition active / quel FS est utlise / quel secteur commence la partition / taille
        
        etendues (max 1)
        
        Primaires (max 4)
        
        Boot Signature (indique fin de MBR)
        toujours la valeur 0x 55 AA
        permet de verifier si le MBR present ou valide
        
        Bootsterap Code
        scanner la table de partitionnement pour touver et lire le premier secteur de la partition active pour le recopier en memoire et demarrer le programme charge
        
        GPT Table de Partitionnement avec GUID
        
        Pas de restrictions sur le nombre ou la taille
        des partition (MBR)
        Le GPT est stockés en plusieurs copies à
        travers le disque pour garantir sa cohérence
        
        Le Boot Code du MBR
        Scanne la table > cherche la partition active et Bootable > identifie le FS
        NTFS > 07
        LINUX > 83
        
        BootLoader
        comprent le systeme de fichier utlise
        cherche dans le FS > le kernel de lOS et le charge en RAM puis le demarre
        quand le bootloader est finalment execute > il charge ses configs deuis les fichiers dans le meme partition / (Boot Menu) Apres il present lutilisateur avec une liste des OSs charges du fichier de configuration / (OS kernel) Ensuite il charge le kernel de lOS et donne controle a luitilisateur
        
        NTDLR
        
        BOOTMGR
        
        GRUB
    - - FAT16, File Allocation System
        Best portability among file systems
        Easy to restore deleted files
        limited to 4GB
        no control over user file access
        limited number of root Dir enteries
        
        Boot Sector
        3 octets > JUMP instruction > processeur saute vers le deb du Boot Code excutable
        8 octets > Nom Manidacturer
        
        File Allocation Table
        entree pour tout cluster sur le dique qui contient des donnes / tout cluster a un pointeur vers le prochain cluster vers la fin
        
        Clusters (contains data)
        Directement apres le Root Dir
        la plus petite unite de stockage
        
        Root Dir
        des entres 32 bits sur les fichiers stockes dans le repertoire racine > nom / extenscion / temps / position sur le disque
      - NTFS
        
        Partition boot sector
        BPB > Bios Parameter Block contient > (8 octets apres 8*5 octest) 1. nombre de bytes par secteurs / et de bytes par cluster / reserves / et total des secteurs / (8 octets) 2. position de la MFT
        
        MFT= Master File Table
        tout fichier est represente par un enregistrement (variable) dans MFT / si 1er enregint est corrompu > NTFS lit le second enreg pour trouver MFT backup
        
        File area
      - ext
        tout object est rep par in Inode (128 bytes)
        definissnet > fichier / repertoire / peri / tube
        
        Block Group i
        
        inode Bitmap 1
        
        reference les inodes
        
        Group descriptor N
        
        apres superBlcok / position de dataBlock Bitmap / inode bitmap / inode table
        
        inode Table N
        
        les inodes dun block Group
        
        SuperBlock 1 block
        
        Equivalent au Boot sector de Fat (1er block ms chaque block contient une copie )
        N dinodes / blocks / blocks libres / taille du block / nbre de blocks dans une groupe de blocks
        
        Data Blcoks N
        
        Data Block Bitmap 1
        
        Tableau ou chaque Bit represente un Block (equi au FATable) reference les Blcoks
        
        MBR
        
        Restaurer des fichiers sous Ext
        
        Recherche de texte brut
        
        Journalisation
        
        Le systèmes écrit des logs qui enregistrent chaque
        changement au niveau des inodes pour protéger les données en cas de faute système.
        
        Journal
        
        Write Back
        
        Ordered
- - - - Syslog
        
        Syslog implémente un système de classification facility/prioritypp-
        our les événements enregistrés
        
        Syslog facility
        
        Syslog Priority
        
        Contenu
        ● date et heure de l’événement / TimeStamp
        ● nom de l’hôte où l’événement a eu lieu / Host
        ● nom du processus rapportant l’événement / Process
        ● texte du message / Message
        
        Examples
        
        Bash / Journal de ligne de commande
        
        /.Bash_history
        contient une liste des commandes précédemment
        émises au shell Bash
        
        DNS
        
        Un grand nombre de logiciels malveillants modifie souvent les entrées DNS de l’utilisateur
        /etc/resolv.conf: de nombreux systèmes Linux l’utilisent pour la
        configuration DNS
        /etc/hosts: associe les adresses IP aux adresses DNS
        
        SSH
        
        .ssh/known_hosts:
        lorsqu’un utilisateur se connecte via SSH, dans ce fichier est enregistré: adresse IP de l’utilisateur distant, nom d’hôte, clé publique
      - Journaux d’activités utilisteur
        
        Connexion et déconnexion de l’utilisateur:
        
        /var/log/wtmp
        
        /var/run/utmp:
        
        /var/log/lastlog:
        au format binaire, dernière connexion pour tous
        les utilisateurs: heure, hôte distant
    - - Types
        
        Évènements System
        
        Entrées créées par: le système d’exploitation, les composants et services du système d’exploitation
        
        – Démarrages et arrêts de service
        – Démarrages et arrêts du système
        – Changement d’heure système
        Niveaux: error, warning, information
        
        Evènements liés à la sécurité / Audits
        
        Les événements enregistrés dépendent de la configuration
        Les événements généralement intéressants incluent les ouvertures de session, les déconnexions, les tentatives de connexion échouées, l’escalade de compte, etc.
        
        Configuration d’Evènements liés à la sécurité
        
        Les évènements d’applications
      - Format des messages
        
        Structure des messages:
        
        Données du message:
      - Registre Windows
        
        L’un des composants de base de chaque système d’exploitation Windows
        Base de données hiérarchique gérée par le système d’exploitation utilisée pour stocker les données de configuration des composants du système ainsi que des applications utilisateur
        
        Organisation logique
        
        Clés et valeurs
        
        Valeur
        Une valeur a un nom, un type et des données.
        
        – Nom de la valeur
        
        – Type de valeur
        
        – Données de valeur
        
        Cle
        
        Chaque nœud d’arbre contient une clé ou une sous-clé