Ce livre décrit les techniques et les méthodologies utilisées par les professionnels de l’investigation numérique sur les environnements Microsoft Windows et GNU/Linux. Il a été pensé et conçu pour des professionnels dans le domaine de la réponse à incident et de l’investigation numérique ainsi que pour des passionnés par la cybersécurité, curieux et recherchant une approche théorique et pra­tique. Le livre propose ces deux types d’approches complémentaires et il s’agit d’un des rares livres écrits en français sur ce sujet.

La partie théorique du livre présente de nombreux concepts fondamentaux relatifs aux systèmes d’exploitation et une description des méthodologies régissant l’investigation numérique sur le ter­rain. Les chapitres détaillent les techniques inhérentes à la réalisation de prélèvements en environ­nement physique et virtuel ainsi que les particularités des nombreux hyperviseurs. Ces prélève­ments seront vérifiés puis rendus accessibles aux analystes via des méthodes détaillées et précises prenant en compte les contraintes imposées par les méthodologies retenues.

Un chapitre est dédié aux outils afin de proposer une référence permettant aux nouveaux analystes comme aux expérimentés de répondre efficacement aux problématiques rencontrées. Les solutions permettant de créer son propre environnement d’analyse et de le déployer sur l’hyperviseur de son choix sont également présentées.

Dans la seconde partie du livre, quatre études de cas illustrent par la pratique les concepts, outils et méthodes présentés dans la première partie.

Avant-propos

1. À qui s’adresse cet ouvrage ?
2. Structure et éléments abordés

Méthodologie et référentiels

1. La menace
2. Moyens de défense
   1. 1. SOC
   2. 2. CSIRT/CERT
   3. 3. Compléments
3. Réponse à incident et investigation numérique
   1. 1. Réponse à incident
      1. a. NIST
      2. b. SANS Institute
      3. c. PRIS
      4. d. OODA
      5. e. Plan de réponse à incident
   2. 2. Investigation numérique
      1. a. Digital Forensic Research Workshop
      2. b. Abstract Digital Forensics Model
      3. c. Integrated Digital Investigation Process
      4. d. Enhanced Digital Investigation Process
      5. e. Méthode retenue
   3. 3. Artefacts
4. Normes et standards
   1. 1. Normes
   2. 2. Standardisation des échanges
      1. a. Unified Cybersecurity Ontology (UCO)
      2. b. Cyber-investigation Analysis Standard Expression (CASE)
      3. c. Exemple d’utilisation
5. Références

Les concepts fondamentaux de Microsoft Windows

1. Introduction
2. Concepts fondamentaux
   1. 1. Les processus
   2. 2. La mémoire vive
   3. 3. Les partitions
      1. a. BIOS/MBR
      2. b. UEFI/GPT
   4. 4. Les systèmes de fichiers
      1. a. NT File System (NTFS)
      2. b. Extended File Allocation Table (exFAT)
   5. 5. Fonctionnalités
      1. a. Base de registre
      2. b. Mécanismes de persistance
      3. c. Mécanismes de chiffrement
      4. d. Volume Shadow Copy Service
      5. e. Windows on Windows
      6. f. Sous-système Windows pour Linux
3. Artefacts
   1. 1. Journaux d’événements
      1. a. Fichiers EVTX
      2. b. Event Tracing for Windows
      3. c. Dynamic Tracing
      4. d. Exploitation des EVTX
   2. 2. Information sur le système
   3. 3. Exécution des programmes
      1. a. Userassist
      2. b. MUICache
      3. c. Prefetch
      4. d. AmCache
      5. e. Shimcache
      6. f. Background Activity Moderator/Desktop ActivityModerator
      7. g. RecentsApps
      8. h. System Resource Usage Monitor
      9. i. Tâches planifiées
      10. j. RunMRU
   4. 4. Actions sur les fichiers et répertoires
      1. a. JumpList
      2. b. ShellBags
      3. c. Raccourcis
      4. d. Recent files
      5. e. Last Visited MRU
      6. f. Open/Save MRU
   5. 5. Navigateur web
      1. a. Google Chrome
      2. b. Microsoft Internet Explorer/Edge
      3. c. Mozilla Firefox
   6. 6. Périphérique USB
   7. 7. Réseaux
   8. 8. Divers
      1. a. Notifications
      2. b. W10 Timeline
      3. c. Fichiers supprimés
      4. d. Task Bar Feature Usage
      5. e. Search - WorldWheelQuery
      6. f. Microsoft Defender
4. Références

Les concepts fondamentaux de GNU/Linux

1. Introduction
2. Historique
3. Présentation de GNU/Linux
   1. 1. Noyau
   2. 2. Processus
   3. 3. Mémoire virtuelle
   4. 4. Stockage physique des données
   5. 5. Gestion par volumes logiques
   6. 6. Chiffrement via LUKS
   7. 7. Système de fichiers
      1. a. Système de fichiers EXT
      2. b. Autres systèmes de fichiers
      3. c. Système de fichiers virtuel
      4. d. Système de fichiers temporaire
      5. e. Partition d’échange
      6. f. L’arborescence
   8. 8. Shells
4. Artefacts
   1. 1. Système
      1. a. Données temporelles
      2. b. Version du système
      3. c. Liste des modules noyau chargés au démarrage
      4. d. Réseau
      5. e. SSH
      6. f. Gestionnaire de paquets
      7. g. SELinux
   2. 2. Répertoire et fichiers
   3. 3. Utilisateurs
      1. a. L’historique
      2. b. Linux desktop
      3. c. La navigation web
      4. d. Périphérique USB
   4. 4. Fichiers de logs
      1. a. Syslog
      2. b. Fichiers intéressants
      3. c. systemd
      4. d. Auditd
      5. e. Services
      6. f. Logs applicatifs
   5. 5. Tâches planifiées
5. Références

Comment effectuer vos prélèvements

1. Introduction
2. Prélèvements physiques
   1. 1. Organisation
   2. 2. Contraintes matérielles
   3. 3. Format des prélèvements
   4. 4. Réflexions
      1. a. Type de port USB
      2. b. Vitesse des disques de stockage
      3. c. SMART
      4. d. Protection des disques durs et SSD
   5. 5. Mémoire vive
      1. a. Environnement Microsoft Windows
      2. b. Environnement GNU/Linux
   6. 6. Mémoire de masse
3. Prélèvements en environnement virtualisé
   1. 1. Introduction
   2. 2. VMware ESXI
      1. a. Mémoire vive
      2. b. Mémoire de masse
   3. 3. Hyper-V
      1. a. Mémoire vive
      2. b. Mémoire de masse
   4. 4. Xen
   5. 5. KVM/QEMU
4. Conteneurs
   1. 1. Persistance des données
   2. 2. Navigation
   3. 3. Prélèvement des processus
5. Triage
   1. 1. Live triage
   2. 2. Triage post mortem
   3. 3. Outils
6. Bonnes pratiques
7. Références

Primo analyse

1. Introduction
2. Rendre son prélèvement exploitable
   1. 1. La mémoire de masse
3. Analyse par signature
   1. 1. IoC
   2. 2. Antivirus
   3. 3. Base de données d’empreintes numériques
   4. 4. YARA et Sigma
4. Mécanismes anti-forensic
   1. 1. Suppression des données
   2. 2. Modification des métadonnées
   3. 3. Chiffrement des données
   4. 4. Manipulation des paramètres du RAID
   5. 5. Manipulation des signatures des fichiers
5. Références

Boîte à outils

1. Introduction
2. Collecte
   1. 1. Live forensic
      1. a. Cybertriage
      2. b. CyLR
      3. c. DFIR Linux Collector
      4. d. DFIR ORC
      5. e. FastIR artifacts
      6. f. GRR
      7. g. Kroll Artifact Parser and Extractor
      8. h. Linux Explorer
      9. i. osquery
      10. j. Plaso
      11. k. Unix-like Artifacts Collector
      12. l. Velociraptor
   2. 2. Mémoire de masse
      1. a. Prélèvement hardware
      2. b. dd/dcfldd/dc3dd
      3. c. ddrescue
      4. d. EnCase EWF
   3. 3. Mémoire vive post mortem
      1. a. AVML
      2. b. Belkasoft Live RAM Capturer
      3. c. Dumpit
      4. d. FTK imager
      5. e. LiME
      6. f. Magnet RAM Capture
      7. g. Microsoft LiveKd
      8. h. WinPmem
      9. i. X-Ways Imager
   4. 4. Compléments
3. Examen
   1. 1. Chkrootkit
   2. 2. ClamAV
   3. 3. Hfind
   4. 4. Loki et Thor
   5. 5. MISP
   6. 6. rkhunter
   7. 7. Suricata
   8. 8. Base de connaissance
      1. a. Analyse des noms de domaines
      2. b. Analyse des e-mails
      3. c. Analyse des adresses IP
      4. d. Analyse des URL
4. Analyse
   1. 1. Autopsy
   2. 2. DFTimewolf
   3. 3. Freta
   4. 4. Hashcat
   5. 5. Kuiper
   6. 6. swap_digger
   7. 7. TAPIR
   8. 8. Timesketch
   9. 9. Volatility
      1. a. Création d’un profil Windows (Volatility2)
      2. b. Création d’un profil Linux (Volatility3)
      3. c. Plugins
   10. 10. Suite logicielle
       1. a. Suite d’outils Didier Stevens
       2. b. pffexport
   11. 11. Analyse de la base de registre
   12. 12. Analyse des binaires
       1. a. Capa
       2. b. Débogueur/désassembleur
       3. c. Detect-It-Easy
       4. d. PeStudio
       5. e. ViperMonkey
   13. 13. Analyse des événements de sécurité
       1. a. Chainsaw
       2. b. Evtx2json
       3. c. EvtxECmd
       4. d. Hayabusa
       5. e. Suite Elastic
       6. f. Splunk
       7. g. Zircolite
5. Carving
   1. 1. Bulk_extractor
   2. 2. Extundelete
   3. 3. Ext4magic
   4. 4. Foremost
   5. 5. PhotoRec
   6. 6. Scalpel
   7. 7. The Sleuth Kit
6. Rapport
   1. 1. DFIR-IRIS
   2. 2. OSForensics
7. Distributions dédiées et personnalisées
   1. 1. Bitscout
   2. 2. CSI Linux
   3. 3. Flare-VM
   4. 4. SIFT Workstation
   5. 5. Tsurugi
   6. 6. WinFE
8. Création d'un laboratoire et de machines virtuelles personnalisées
   1. 1. Solutions existantes
   2. 2. Phase 1 : création des modèlesde machines virtuelles
      1. a. Ansible
      2. b. Packer
   3. 3. Phase 2 : déploiement des machinesvirtuelles
      1. a. Vagrant
      2. b. Terraform
      3. c. Ansible
9. Conclusion

Microsoft Windows : études de cas

1. Introduction
2. Étude de cas - Orvil
   1. 1. Contexte
   2. 2. Identification
   3. 3. Collecte
   4. 4. Examen
   5. 5. Analyse
      1. a. Mémoire vive
      2. b. Mémoire de masse
      3. c. Analyse des logs
   6. 6. Conclusion
3. Étude de cas - Devdown
   1. 1. Contexte
   2. 2. Collecte
   3. 3. Poste secrétaire
      1. a. Analyse de la mémoire vive
      2. b. Analyse de la mémoire de masse
      3. c. Analyse des logs
      4. d. Conclusion
   4. 4. Serveur Active Directory
      1. a. Analyse des journaux d’événements
      2. b. Analyse de la mémoire vive
   5. 5. Conclusion

GNU/Linux : études de cas

1. Introduction
2. Étude de cas - DevTeam
   1. 1. Contexte
   2. 2. Prélèvement
   3. 3. Analyse
      1. a. Mémoire vive
      2. b. Logs
   4. 4. Conclusion
3. Étude de cas - Devdown
   1. 1. Contexte
   2. 2. Prélèvement
   3. 3. Analyse
      1. a. Mémoire vive
      2. b. Mémoire de masse
   4. 4. Conclusion

Remerciements

1. Introduction