Nous allons travailler sous SIFT WORKSTATION une distrib orienté Forensique disposant de tous les tools nécessaires à un bon technicien effectuant une analyse!

Disponible ici: http://computer-forensics.sans.org/community/downloads

Nous allons commencer par utiliser Autopsy nous permettant d’analyser les images précédemment copiées.

Autopsy se gère via l’interface d’un navigateur: http://localhost:9999/autopsy

Dans un premier temps cliquez sur « new case » afin de créer notre « investigation ».

Ensuite vous avez la possibilité d’ajouter un « host »:

« timeskew adjustment » correspond au décalage qu’il pouvait avoir entre l’heure BIOS de son poste et l’heure réel. C’est un champ important qui permet lors de notre étude d’avoir l’heure exacte des différentes actions du suspect sur son PC.

Enfin « add images ». Vous montez le disque dur où sont stockés vos images puis pour les ajouter toutes en utilisant /dossierimages/name* » (comme montré sur l’image ci-dessous)

Maintenant nous voyons notre partition « c: » sous Autopsy.

Cliquons sur « Files Activity TimeLines »qui  permet de voir dans l’ordre chronologique l’accès / modification / supressions des fichiers sur la partition. (encadré en vert)

La première chose à faire c’est « create data file » sur notre partition « C: »

Une fois votre data file généré (par défaut dans ../output/body) on s’occupe de trier la Timeline simplement en cliquant sur « OK ».

On sélectionne le fichier à trier (body pour nous).

Une fois le tri effectué, vous pouvez aller dans l’onglet « view Timeline » afin de voir les fichiers vus/accédés en fonction de leur date..

Le problème avec cette vue, c’est que l’on peut filtrer uniquement par mois, alors qu’il se passe déjà énormément de chose en une heure… c’est pourquoi on n’utilisera pas cette vue pour analyser notre DD mais il me paraissait essentiel de vous en parler;).

Quittez maintenant la timeline pour revenir sur la vue présentant votre / vos partition(s).

Nous allons maintenant analysez la partition « C: » (encadré en rouge sur l’image  précédente 2)

On peut désormais naviguer dans la partition en voyant les dossiers / fichiers présents.

On notera la possibilité d’exporter le contenu d’un fichier.

A la racine on repère le fichier « $MTF » (pour Master File Table ) qui est intéressant:

C’est un des éléments du système de fichiers NTFS qui contient la liste de tous les fichiers stockés sur un disque. Il fonctionne un peu à la façon d’une base de données.

Nous y reviendrons dans la prochaine partie.

$Recycle.Bin: la poubelle de Windows, à l’intérieur vous retrouverez un dossier par utilisateur (le nom du dossier correspond au SID de l’utilisateur).

Sinon nous allons allez dans le dossier « /Users » , puis « Creativeo » ou se trouve un fichier (ntuser.dat) que nous allons analyser contenant le profil de notre victime.

Une fois le fameux fichier trouvé on clique dessus afin d’afficher le contenu et d’avoir la possibilité de l’exporter (ce que nous faisons).

Avant de quitter Autospy je vais vous parler d’une autre fonctionnalité intéressante « keyword search »

qui permet de chercher une string en ASCII, unicode … contenu dans un fichier.

Selon la taille de l’image la recherche peut prendre un certain temps à se faire…

L’option « extract string » permet d’extraire les chaines de caractères comme son nom l’indique, afin d’accélérer les recherches. 

On remarque ci-dessus en rouge « ailes », il s’agit d’une de mes précédentes recherches qui est automatiquement enregistré

Pour finir nous allons ouvrir le fichier « timeline.txt » précédemment créé avec gedit.

(Si vous ne savez pas où il a été enregistré, un petit locate timeline.txt devrait vous trouver votre fichier).

On remarque beaucoup de lignes classées chronologiquement.

En effectuant une petite recherche sur « ailes » (je sais que ce document existe sur le PC du suspect, je n’ai pas deviné tout seul :p) qu’il a été crée le Lundi 2 janvier 2012 à 14h47.

Les lettres qu’on retrouve encadré en rouge signifient:

m: « modification »

a: « access »

c: « creation »

b: « birth »

 Conclusion: Nous avons fait un petit tour rapide des fonctionnalité première d’Autospy, dans le prochain article nous allons analyser le fameux fichier MFT ainsi que le registre.