L’objectif d’aujourd’hui sera d’effectuer une copie bit par bit du disque dur saisi.
C’est cette copie que nous analyserons ensuite, et non directement le média du suspect.
Pour l’acquisition de données nous allons utiliser un LiveCD d’une distrib orienté sécurité / forensique
Téléchargeable gratuitement ici: http://www.e-fense.com/helix/
Mais pour ce que nous allons faire vous pouvez aussi utiliser Backtrack ou un Ubuntu avec les paquets nécessaires 
.
.Je veux vous montrer comment Helix fonctionne car il est utilisé par un bon nombre des techniciens effectuant des analyses Forensique.
Dans un premier temps on affiche la liste des disques dur présent avec «
fdisk -l » .On repère le disque que nous souhaitons cloner.
Ensuite « ewfacquire » permet d’effectuer une copie bit par bit d’un média.
on spécifie le disque que nous souhaitons dupliquer (qu’on a précédemment repéré avec notre FDISK):
ewfacquire /dev/sdaEnsuite ewfcquire va nous demander certaines informations:
Avec entre autres la destination de la copie (dans mon cas sur mon DD externe que j’ai monté avec la commande « mount »).
le nom de l’affaire, quelques notes, la description.
le type de media (fixe, usb…), la compression utilisée, la taille de chaque segment, le nombre de bits à copier (et où commence la copie « offset »), la taillle des blocs.
Une fois ces informations entrées la copie commence.
Pour copier bit par bit le contenu d’un disque dur de plusieurs centaines de Giga le traitement prendra plusieurs heures.
D’autre part une copie bit par bit peut se faire simplement avec la commande « dd » même si je la trouve un peu moins adaptée que ewfacquire dans le cas de l’utilisation de la copie pour une future analyse comme celle-ci .
.dd if=/dev/sda1 of=/dev/sda2 bs=1024Avec sda1 le disque que vous souhaitez cloner, et sda2 ou il sera copié.
et bs correspond à la taille d’un bloc.
That’s all for today
Prochaine étape: analyse des données
0 commentaires:
Enregistrer un commentaire