|
|
DFF, le metasploit du forensic
Par Ludovic Blin,
secuobs.com
Le 05/08/2010
Résumé : L’outil libre de la jeune société française Arxsys, qui a remporté le prix de l’innovation des Assises de la Sécurité 2010, est un environnement dédié au recueil de preuves numériques. - Lire l'article
Le recueil de preuves numériques (ou « digital forensics ») nécessite un ensemble d’outils et de techniques spécifiques, destinés à assurer aussi bien l’exhaustivité la plus importante possible de la recherche, que le caractère légal du processus. Au coté de logiciels commerciaux, de nombreux outils libres existent, souvent dédiés à une tâche particulière (par exemple réaliser une image disque, ou encore analyser tel ou tel type de système de fichiers). Cependant il n’existait pas encore d’environnement complet, dédié à cette activité et disponible sous la forme d’un logiciel libre.
Ce manque est aujourd’hui comblé avec l’outil Digital Forensic Framework de la jeune société française Arxsys. Cette dernière a ainsi remporté le prix de l’innovation des assises de la sécurité 2010, décerné pour la première fois à un logiciel libre, qui sera remis aux fondateurs le 7 octobre prochain à Monaco.
« Notre but est de créer, toutes proportions gardées, un équivalent de Metasploit dans le domaine de l’informatique légale » déclare Solal Jacob, directeur général d’Arxsys.
DFF se présente ainsi sous la forme d’une API utilisable depuis C++ et Python, qu’il est possible d’utiliser via une interface en ligne de commande, ou un environnement graphique. Il faut ensuite charger une image du disque a analyser, puis l’outil offre des fonctions de recherche de fichiers au sein des données. Les recherches pour plusieurs types de fichiers commun (images, documents bureautiques …) sont préparamêtrées au sein de l’interface. En effet, de manière à pouvoir effectuer une recherche exhaustive, l’outil se base sur les caractéristiques des formats de fichiers (header, footer, …) pour les retrouver au sein des données brutes du disque. Cela permet notamment de pouvoir récupérer les fichiers qui ont été effacés.
Plusieurs systèmes de fichiers sont supportés comme FAT et Vmware, les formats EXT et NTFS devant être ajoutés sous peu. Plusieurs formats utilisés par les téléphones portables sont également analysables. Notons par ailleurs que l’API de DFF peut analyser des systèmes de fichiers « empilés ».
Une nouvelle version de DFF devrait être disponible avant la tenue des Assises de la sécurité, au début du mois d’octobre. « La version 1.0, intégrant notamment l’outil d’analyse en mémoire Volatility, est prévue pour septembre/octobre » confirme Frédéric Baguelin, directeur technique d’Arxsys.
Au final, cet environnement pourrait être utile à de nombreux professionnels, notamment du fait de sa disponibilité sous licence GPLv2 et de son interface graphique pratique à utiliser. Il est disponible pour les plates-formes Windows et Linux.
Le site d’Arxsys : lien
Le site du projet DFF : lien
Le prix de l’innovation sur le site des assises de la sécurité : lien
- Article suivant : BlindElephant prend les empreintes des applications web
- Article précédent : How to install USBsploit v0.1b through SVN, the tar.gz, the .run or to work with original Metasploit
- Article suivant dans la catégorie Outils : BlindElephant prend les empreintes des applications web
- Article précédent dans la catégorie Outils : Interpolique un outil visant à dé-responsabiliser en partie les développeurs sur des problématiques comme les XSS et les SQLi
| Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, microsoft, attaque, réseau, metasploit, outil, vulnérabilité, système, audit, virus, internet, usbsploit, données, linux, présentation, source, bluetooth, protocol, réseaux, reverse, vista, scanner, shell, meterpreter, engineering, conférence, rootkit, wishmaster, trames, téléphone, paquet, mobile, sysun, noyau, libre, botnet, rapport, accès, intel, https, snort, mémoire, téléphones |
| Mini-Tagwall de l'annuaire video : | | | | security, metasploit, biomet, biometric, windows, botnet, defcon, password, vmware, tutorial, exploit, conference, crypt, virus, lockpicking, attack, network, linux, rootkit, conficker, shmoocon, wireshark, server, meterpreter, ettercap, source, iphone, openvpn, openbsd, iptables, backtrack, openssh, deepsec, systm, hnncast, securitytube, brucon, shell, access, secconf, engineering, internet, fingerprint, virtual, firewall |
| Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
| Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|
