Les formats de fichier

To the non-french speaker, note that you can translate the articles using the Google Trad widget situated at the bottom of all pages.


La première chose à faire lorsque l’on reçoit un fichier en forensique, c’est de déterminer son type. En effet suivant le type de fichier à analyser certaines actions seront à faire ou pas.

  • Si le fichier est une copie bit à bit d’un disque dur :

Suivant le format du fichier il sera plus ou moins facile de le monter. Un fichier RAW pourra être monter via la commande mount tandis qu’un fichier EWF nécessitera l’utilisation d’un utilitaire supplémentaire : ewfmount disponible dans la suite sleuthkit :

sudo apt install sleuthkit

En effet il n’est pas rare que les fichiers EWF soient découpés en plusieurs petits fichiers numérotés :

1.png

Heureusement pour nous l’utilitaire ewfmount est capable de remonter automatique tous ces fichiers en un seul en utilisant cette commande :

ewfmount -v hardisk_copie.e* "répertoire_de_montage"

Une fois le fichier de copie monté on pourra analyser son contenu et notamment les différentes partitions qui s’y trouvent via les utilitaires mmls ou fdisk (le premier étant plus verbeux que le second) :

2.png

De suite on remarque qu’il y a une partition NTFS et deux partitions non allouées. Nous allons donc monter la partition NTFS. Pour cela on se servira encore une fois de la commande mount :

mount -t ntfs-3g -o ro,noexec,show_sys_files,streams_interface=windows,loop,offset=$((512*128)) hardisk_copie.dd mnt

J’ai surligné en rouge la partie offset car lorsque l’on veut monter une partition en particulier il est nécessaire de calculer son offset, c’est à dire l’adresse de départ de la partition). Pour cela il suffit de prendre l’adresse de début de la partition affichée par mmls et de la multiplier par 512 qui est la taille conventionnelle d’un secteur de données sur un disque dur

En plus de l’offset nous avons ajouté plusieurs options telles que « ro » (pour read only) ou encore « noexec » pour éviter de détruire des données quant à « show_sys_file » et « streams_interfaces » ce sont des paramètres spécifiques à windows qui vont nous permettre d’afficher les fichiers cachés.

Vous n’aurez plus qu’à vous rendre dans le répertoire mnt pour accéder aux différents fichiers qui étaient présents sur le disque dur et commencer à investiguer.

  • Si le fichier est un dump mémoire :

Alors là nous n’aurons pas besoin de le monter. A la place nous nous servirons d’un framework d’analyse forensique : Volatility

 

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s