5 Outils essentiels à apprendre sur le poste de travail SIFT
- Couche de gestion des médias
- Couche de système de fichiers
- Couche de fichiers. (« L’interface humaine »)
- Couche des métadonnées (« Inode »)
- Couche du contenu (« Bloc »)
Comme par hasard, le nom de chaque outil correspond à son objectif via un format cohérent de préfixe/suffixe. Prenez, par exemple, l’outil « mmls », qui est utilisé pour afficher la disposition des partitions d’un système de volume. Le préfixe « mm » vous indique qu’il opère au niveau de la couche de gestion des médias, tandis que le suffixe « ls » est simplement la commande Linux « ls », utilisée pour lister les fichiers et les répertoires. En effet, « mmls » vous fournira une disposition de liste des partitions dans un système de volume, qui comprend les tables de partition et les étiquettes de disque.
En revanche, en ce qui concerne l’outil « icat », son préfixe « i » indique qu’il opère au niveau de la couche inode (métadonnées), tandis que le suffixe est simplement la commande Linux « cat » et est utilisé pour afficher le contenu d’un fichier. Sur la base du seul nom de l’outil, nous pouvons déduire avec précision que « icat » affichera le contenu d’un fichier en fonction de son numéro d’inode. Mieux encore, le poste de travail SIFT est également livré avec « Autopsy », une interface graphique qui abstrait et simplifie l’interaction avec les programmes et les plugins de TSK.
Que vous préfériez travailler à partir de la ligne de commande ou via une interface de navigateur web, TSK/Autopsy vous fournira les outils nécessaires pour effectuer un examen médico-légal détaillé et robuste.
Volatilité
Les cyberattaques modernes sont de plus en plus sophistiquées pour échapper à la détection et ne laissent souvent aucun artefact forensique sur le disque dur de la machine victime. Cette situation, associée à l’utilisation généralisée du cryptage intégral du disque, a donné une importance encore plus grande à la capacité d’extraire et de mener une analyse détaillée du vidage de la mémoire d’un système informatique.
L’utilisation de Volatility permet à un examinateur de mener des analyses médico-légales de la mémoire et de vérifier un grand volume d’informations précieuses. Volatility peut identifier les processus malveillants et les rootkits, ainsi que récupérer les hachages de mots de passe et les preuves d’injection de code malveillant. Le cadre Volatility est taillé sur mesure pour effectuer des réponses aux incidents et des analyses de logiciels malveillants, et à mon avis, c’est un apprentissage indispensable pour l’examinateur judiciaire numérique moderne.
RegRipper
Dans le monde de l’entreprise, Active Directory et les machines Windows sont presque omniprésents. De même, les systèmes d’exploitation basés sur Windows représentent une grande majorité de la part de marché des utilisateurs à domicile. Il ne serait donc pas choquant d’apprendre qu’une grande partie de la criminalité informatique est commise sur des machines Windows et, à ce titre, un outil d’analyse spécifique à Windows apporterait effectivement une grande valeur à un examinateur de criminalistique numérique.
Le registre de Windows est une base de données hiérarchique de clés, sous-clés et valeurs qui fournissent des paramètres de bas niveau critiques au système d’exploitation. Quel utilisateur s’est connecté quand ? À quelle heure une clé USB a-t-elle été connectée au périphérique ? Quel était le numéro de série de cette clé USB ? Quels fichiers ont été consultés ? Quel utilisateur a cherché quoi ? Tous ces détails – et bien plus encore – sont enregistrés dans le registre. En d’autres termes, il s’agit d’une mine d’or absolue pour découvrir des artefacts médico-légaux.
RegRipper est un outil open-source conçu pour fournir un moyen facile d’analyser des valeurs ciblées d’intérêt à partir du Registre afin d’effectuer une analyse médico-légale. Pour ce faire, un examinateur fournit le Hive de Registre pertinent qu’il souhaite cibler, comme System, ou SAM, et le nom d’un Plugin requis pour effectuer une action particulière sur la cible.
Par exemple, en passant dans le Hive System en conjonction avec le plugin Shutdown, RegRipper va rapidement analyser et retourner les informations pertinentes relatives à la date du dernier arrêt du système. Comme vous pouvez probablement le dire, RegRipper est un outil incroyablement puissant et un composant essentiel de la station de travail SIFT.
Wireshark
Aucune liste ne serait complète sans l’inclusion du célèbre analyseur de paquets, Wireshark. Célèbre dans la communauté des réseaux pour ses capacités de débogage et de dépannage, cet outil a la capacité de scruter en profondeur et de démêler les détails de toutes les données qui traversent le fil. Aux fins de l’analyse judiciaire du réseau, Wireshark offre à un examinateur la possibilité d’identifier les intrusions et le trafic malveillant, ainsi que de recueillir des informations pour aider à établir une base contextuelle autour d’un crime potentiel.
Supposons qu’un criminel avisé pénètre dans le réseau mais prend soin d’effacer tous les fichiers journaux et les preuves de sa présence sur la machine cible. La seule trace restante de ce qui s’est passé peut se trouver dans le trafic enregistré par l’analyseur de paquets. Wireshark fournit une suite de fonctionnalités pour aider à isoler et identifier le trafic potentiellement « intéressant », y compris le filtrage par adresse source, numéro de port et type de protocole.
En fin de compte, la criminalistique réseau s’est progressivement développée pour devenir une sous-branche vitale de l’enquête sur les crimes numériques et Wireshark s’est avéré être un ajout inestimable à la boîte à outils de la criminalistique.
Plaso/Log2Timeline
L’analyse médico-légale exige une attention extrême aux détails et la construction d’une chronologie précise des événements est d’une importance capitale lors de l’évaluation des preuves en votre possession. Une chronologie erronée peut littéralement faire la différence entre la découverte d’une preuve inculpatoire ou disculpatoire. Plutôt que de subir les lassitudes de l’examen manuel des journaux d’événements, des préfetchs, des shellbags et du collationnement de ces données provenant de sources disparates, SIFT Workstation offre une option permettant de créer une « Super Timeline » à l’aide d’un seul outil.
Construit sur un moteur dorsal connu sous le nom de Plaso, Log2Timeline a la capacité d’analyser toutes ces informations et de les assembler dans un ordre temporel – le tout proprement dans une seule source de données. Log2Timeline aide à fournir une richesse de contexte à vos découvertes et est excellent pour éliminer les faux positifs.
Log2Timeline ne rend pas seulement votre travail plus facile, il améliore également la qualité de votre travail et peut souvent conduire à la découverte de cette insaisissable « pièce finale du puzzle » nécessaire pour résoudre une affaire. C’est vraiment un outil exceptionnel.
Pensées finales
Le poste de travail SIFT est un cadre de médecine légale de qualité professionnelle et offre une abondance d’outils open-source de haute qualité à votre disposition. Je vous encourage à céder à votre curiosité et à explorer tout ce qu’il a à offrir. Sans aucun doute, ces cinq outils sont mes préférés du lot et, à mon avis, représentent un apprentissage absolument essentiel de la criminalistique numérique.