[Forensics - Partie 1] Introduction aux techniques forensics SecuObs - L'observatoire de la sécurite internet - Site d'informations professionnelles francophone sur la sécurité informatique

Tutoriels

Les derniers commentaires publiés sur SecuObs (1-5):

- ESRT @netsparker @jeremiahg - Scanner Review Vendors begin responding: HP Web - ESRT @dloss - Python tools for penetration testers - ESRT @sagar38 @laramies @matalaz - Pyew A Python tool to analyze malware - synspam 0.4.0-1 - sipwitch 0.7.0 Les derniers commentaires publiés sur SecuObs (6-25) Tous les commentaires publiés sur SecuObs avant les 5 derniers

English version with Google Translate

[Forensics - Partie 1] Introduction aux techniques forensics

Par Lexfo formations, lexfo.fr
Le 02/08/2007

Résumé : Le terme Forensics se rapporte à l'ensemble des techniques utilisées pour les recherches effectuées sur une machine suite à une intrusion et cela afin d'en isoler les causes et les conséquences. - Lire l'article

Version imprimable de cet article
Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Tutoriels en RSS

Le terme anglais Forensics (lien ) désigne les recherches effectuées sur une machine suite à sa compromission par exemple, afin d'en déterminer les causes et de juger de l'étendue des dommages.

Une définition plus formelle pourrait être :

- l'action d'acquérir, de recouvrer, de préserver, et de présenter des informations traitées par le système d'information et stockées sur des supports informatiques.

Ces investigations suivent généralement 3 grandes étapes :

- l'acquisition de données

Cette étape consiste à récupérer les données d'une machine dans le but de les analyser. Il faut évidemment éviter toute modification du système et des informations elles-mêmes. L'approche sera différente suivant que le système est en cours d'exécution ou arrêté.

Trois types de collecte peuvent alors être détaillés, à savoir le "dead" forensics (analyse de disque), le "live" forensics (analyse du système opérationnel) et le "mixed" forensics (collecte et analyse de la mémoire physique).

- le recouvrement de données

Un fichier effacé sur un disque dur l'est rarement de façon sécurisée. Les informations concernant ce fichier y restent souvent physiquement. Il est donc généralement possible de recouvrer ces fichiers à partir de l'image d'un disque dur.

On emploiera par exemple la technique dite "file carving" ( lien ) qui consiste à faire une recherche sur l'image disque par rapport au type des fichiers.

- l'analyse de données

Une fois les données récupérées, il faut les analyser ; la facilité de l'analyse est étroitement liée aux compétences du pirate.

Certains ne tenteront pas de se dissimuler, laissant des traces voyantes un peu partout sur le système (dans les journaux systèmes, les fichiers de traces applicatives, etc …).

D'autres auront pris soin d'effacer un maximum d'éléments pouvant trahir leur présence ou leur identité jusqu'à ne rien écrire sur le disque (intrusion par Meterpreter par exemple - lien ).

Autres ressources dans ce dossier :

[Forensics - Partie 2] Exemple d'analyse sous Windows (1) - lien

[Forensics - Partie 3] Exemple d'analyse sous Windows (2) - lien

Voir tous les articles de "Lexfo formations" publiés sur SecuObs (7 résultats)
Voir tous les articles publiés par l'organisme "lexfo.fr" sur SecuObs (7 résultats)

Version imprimable de cet article

Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Tutoriels en RSS

- Article suivant : [Forensics - Partie 2] Exemple d'analyse sous Windows (1)
- Article précédent : Etat de l'art de l'autopsie d'intrusions dites "tout en mémoire"
- Article suivant dans la catégorie Tutoriels : [Forensics - Partie 2] Exemple d'analyse sous Windows (1)
- Article précédent dans la catégorie Tutoriels : [SecUbuLIVE - Partie 5] Conclusion et automatisation

Les derniers commentaires de la catégorie Tutoriels:

- ESRT @dloss - Python tools for penetration testers ... - Airdrop-ng Release ... - GuruPlug, the next generation of SheevaPlug ... - ESRT @Marsmensch @hdmoore - Metasploit supports owning insec ... - ESRT @EdiStrosar @spendergrsec - Linux 2618+ infoleak exploi ...

Les derniers articles de la catégorie Tutoriels :

- PktAnon un framework pour l anonymat des traces PCAP - [NessusWX – Partie 2] Audits et conclusion - [NessusWX – Partie 1] Introduction, installation et configuration - [IDS Snort Windows – Partie 4] Conclusion et webographie - [IDS Snort Windows – Partie 3] Exemple de fichier de configuration - [IDS Snort Windows – Partie 2] Installation et configuration - [IDS Snort Windows – Partie 1] Introduction aux IDS et à SNORT - [Sécurité et PHP - Partie 5] Astuces - [Sécurité et PHP - Partie 4] Remote PHP Vulnerabilty Scanner - [Sécurité et PHP - Partie 3] Les failles PHP + d'articles de la catégorie Tutoriels

Les derniers commentaires publiés sur SecuObs (6-25):

- Airdrop-ng Release - GuruPlug, the next generation of SheevaPlug - Anomos 0.9 Released Public Tracker Up and Running - ESRT @IBMFedCyber - DECT crypto cracked academically - Responder Professional 2.0, a Windows physical memory and automated malware a - ESRT @Marsmensch @hdmoore - Metasploit supports owning insecure IIS WebDAV - Added a small hack to ronin-ext, Ronin::Autoload: autoloads missing constants - ESRT @proactivedefend - Iptables Limits Connections Per IP - ESRT @EdiStrosar @spendergrsec - Linux 2618+ infoleak exploit added to Enligh - ESRT @SecMailLists - Full Disclosure: XSS vulnerability in NEW orkut - ESRT @helpnetsecurity @lbhuston - Zero-day vulnerabilities on the market - ESRT @agar38 @achillean @theprez98 - SHODAN for Penetration Testers slides fr - Video : ESRT @secdocs - Using OpenBSC for fuzzing of GSM handsets - ESRT @helpnetsecurity - Configure Netfilter Shorewall 4.4.7 RC2 released - PS3 hypervisor exploit reproduced - Mozilla Removes Two Malicious Firefox Add-Ons - Wrapping insecure web apps with Apache - Oracle Patches Critical WebLogic Flaw - Directory traversal as a reconnaissance tool - Video : Scanning with the NetChk Configure NIST Policy Les cinq derniers commentaires publiés sur SecuObs Tous les commentaires publiés sur SecuObs avant les 25 derniers

SecuToolBox :

Bluetooth Stack Smasher v0.6 / Bluetooth Stack Smasher v0.8 / Slides Bluetooth Eurosec 2006 / Exposé vidéo Windows Shellcode - Kostya Kortchinsky / Exposé audio Reverse Engineering - Nicolas Brulez / Exposé vidéo Securitech - Pierre Betouin / WEP aircrack + Ubiquiti (MadWifi) 300 mW + Yagi / Secure WIFI WPA + EAP-TLS + Freeradius / Audit Windows / Captive Password Windows / USBDumper / USBDumper 2 / Hacking Hardware / WishMaster backdoor / DNS Auditing Tool / Ettercap SSL MITM / Exploit vulnérabilités Windows / Memory Dumper Kernel Hardening / Reverse Engineering / Scapy / SecUbuLIVE CD / Metasploit / eEye Blink Sec Center / eEye Retina Scanner + d'outils / + de tutoriels

Mini-Tagwall des articles publiés sur SecuObs :

sécurité, exploit, windows, microsoft, réseau, attaque, vulnérabilité, outil, système, audit, virus, internet, données, présentation, linux, metasploit, protocol, bluetooth, vista, shell, scanner, réseaux, rootkit, paquet, trames, source, conférence, téléphone, wishmaster, noyau, engineering, mobile, sysun, https, téléphones, mémoire, patch, intel, botnet, libre, rapport, scapy, reverse, contourner, securitech + de mots clés avec l'annuaire des articles publiés sur SecuObs

Archives Failles Secunia :

- SA38414 Fedora update for gmime22 - SA38429 Debian update for squid and squid3 - SA38461 Ubuntu update for kernel - SA38476 F5 Products TCP Implementation Denial of Service - SA38377 Fedora update for dokuwiki + d'archives failles avec Secunia et SecuMail

Archives Mailing Full Disclosure :

- Full-disclosure Claude Mercier/CLSC-CHSLD BVLV/Reg03/SSSS est absent(e). - Re: Full-disclosure about jit and dep+aslr - Re: Full-disclosure about jit and dep+aslr - Re: Full-disclosure about jit and dep+aslr - Re: Full-disclosure about jit and dep+aslr + d'archives Full Disclosure avec SecuMail

Archives Mailing Bugtraq :

- CORELAN-10-010 - GeFest Web HomeServer v1.0 Remote Directory Traversal Vulnerability - DSECRG-09-065 TVUPlayer PlayerOcx.ocx ActiveX - Insecure method - mongoose Space Character Remote File Disclosure Vulnerability - Suspected SpamVulnerability in Tagcloud for DataLife Engine - Re: Multiple vulnerabilities in XAMPP (advisory #7) - Re: Samba Remote Zero-Day Exploit + d'archives Bugtraq avec SecuMail

Mini-Tagwall de l'annuaire video :

vmware, security, virus, biometric, windows, lockpicking, password, metasploit, botnet, tutorial, crypt, linux, attack, network, iphone, server, exploit, wimax, conficker, virtu, virtual, engineering, cisco, reverse, ettercap, wireshark, hacker, firewall, knoppix, arduino, internet, rootkit, wireless, source, brucon, backtrack, openbsd, systm, overflow, openssh, conference, buffer, access, remote, defcon + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :

security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité + de mots clés avec l'annuaire de la revue de presse

Mini-Tagwall des Tweets de la revue Twitter :

security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack + de mots clés avec l'annuaire de la revue Twitter