Guide des principes fondamentaux de l'enquête informatique pour Windows

Chapitre 3 : Analyse des données

Paru le 01 novembre 2007

Ce chapitre examine diverses approches et recommandations reconnues dans le secteur pour analyser les preuves rassemblées durant la phase d'acquisition des données d'une enquête interne. Reportez-vous à la procédure en trois étapes de la figure suivante.

Figure 3.1. Phase d'analyse du modèle d'enquête informatique

Important

Il est souvent nécessaire d'effectuer une analyse en ligne des données. Cette analyse consiste à examiner directement un ordinateur pendant son utilisation. Elle s'effectue généralement en raison des contraintes de temps de l'enquête ou pour la capture de données volatiles. Soyez particulièrement vigilant lorsque vous effectuez une analyse en ligne afin de minimiser les risques pour les autres preuves.

Sur cette page

Analyse des données du réseau
Analyse des données de l'hôte
Analyse du support de stockage

Analyse des données du réseau

Dans bon nombre d'enquêtes, il n'est pas nécessaire d'analyser les données du réseau. Les enquêtes se concentrent au contraire sur l'examen des images des données. Si une analyse du réseau s'avère nécessaire, reportez-vous à la procédure suivante :

  1. Examinez les journaux des services réseaux pour y rechercher des événements qui présentent un quelconque intérêt. La quantité de données étant généralement volumineuse, vous devrez vous concentrer sur des critères d'événement spécifiques tels que le nom d'utilisateur, la date et l'heure ou la ressource faisant l'objet d'un accès.

  2. Examinez les journaux des services de pare-feu, serveur proxy, système de détection d'intrusion (IDS) et accès distant. Nombre de ces journaux contiennent des informations provenant de la surveillance des connexions entrantes et sortantes ainsi que des informations d'identification (adresse IP, heure de l'événement) et d'authentification. Il est peut-être souhaitable d'examiner les données des journaux dans un outil adapté à l'analyse de données tel que Microsoft® SQL Server™ 2005.

  3. Consultez les journaux du renifleur de paquets ou du moniteur réseau pour rechercher les données qui pourraient vous aider à déterminer les activités effectuées sur le réseau. Déterminez également si les connexions que vous examinez sont chiffrées ou non. En effet, vous ne serez pas en mesure de lire le contenu de sessions chiffrées. Cependant, vous pouvez toujours définir l'heure de connexion et si une partie suspecte a ouvert une session avec un serveur spécifique.

Haut de page

Analyse des données de l'hôte

Les données de l'hôte incluent des informations sur des composants tels que les systèmes d'exploitation et les applications. Reportez-vous à la procédure ci-dessous pour analyser la copie des données de l'hôte obtenues au cours de la phase d'acquisition des données.

  1. Identifiez ce que vous recherchez. La quantité de données de l'hôte sera probablement volumineuse et seule une partie est susceptible de concerner l'incident. Essayez donc de créer des critères de recherche correspondant à des événements qui présentent un intérêt pour l'enquête. Vous pouvez, par exemple, utiliser l'outil Strings de Microsoft Windows® Sysinternals pour rechercher les fichiers situés dans le dossier \Windows\Prefetch. Ce dossier contient notamment des informations sur l'heure et l'emplacement où des applications ont été lancées. Pour plus d'informations sur l'utilisation de l'outil Strings et sur l'envoi ou le transfert des résultats vers un fichier texte, consultez le chapitre 5 : Exemple de scénario appliqué de ce guide.

  2. Examinez les données du système d'exploitation, y compris les informations sur l'horloge, ainsi que les données chargées dans la mémoire de l'ordinateur hôte afin de déterminer si des applications ou processus malveillants sont en cours d'exécution ou programmés pour s'exécuter. Vous pouvez, par exemple, utiliser l'outil AutoRuns de Windows Sysinternals pour afficher les programmes configurés pour s'exécuter durant le processus de démarrage ou l'ouverture de session.

  3. Examinez les applications, les processus et les connexions réseau en cours d'exécution. Recherchez, par exemple, les processus en cours d'exécution qui possèdent un nom correct mais s'exécutent à partir d'un emplacement non standard. Utilisez les outils Windows Sysinternals tels que ProcessExplorer, LogonSession et PSFile pour effectuer ces tâches. Consultez la section « Outils » de l'Annexe Ressources de ce guide pour plus d'informations sur ces outils.

Haut de page

Analyse du support de stockage

Les supports de stockage que vous avez rassemblés durant la phase d'acquisition des données contiennent de nombreux fichiers. Vous devez analyser ces fichiers et déterminer leur pertinence par rapport à l'incident. Cette tâche peut paraître fastidieuse étant donné que les supports de stockage tels que les disques durs et les bandes de sauvegarde contiennent souvent des milliers de fichiers.

Identifiez les fichiers qui vous paraissent pertinents. Vous pourrez les analyser ensuite de plus près. Reportez-vous à la procédure ci-dessous pour extraire et analyser les données provenant des supports de stockage que vous avez recueillis :

  1. Chaque fois que possible, effectuez l'analyse hors connexion sur une copie bit par bit des preuves d'origine.

  2. Déterminez si un chiffrement des données a été utilisé comme, par exemple, le système de fichiers EFS (Encrypting File System) de Microsoft Windows. Plusieurs clés du registre peuvent être examinées pour déterminer si le système de fichiers EFS a déjà été utilisé sur l'ordinateur. Pour obtenir la liste de ces clés spécifiques, consultez la section « Determining If EFS is Being Used on a Machine » de l'article « Encrypting File System in Windows XP and Windows Server 2003 » (en anglais), sur Microsoft TechNet. Si vous pensez qu'un chiffrement des données à été utilisé, vous devez déterminer si vous pouvez ou non récupérer et lire les données chiffrées. La réussite de cette tâche dépendra de différents facteurs : version de Windows, si l'ordinateur appartient ou non à un domaine, comment EFS a été déployé, etc. Pour plus d'informations sur EFS, reportez-vous à « Système de fichiers EFS » sur Microsoft TechNet. Des outils de récupération EFS externes, tels que Advanced EFS Data Recovery d'Elcomsoft, sont également disponibles.

  3. Le cas échéant, décompressez tous les fichiers ou archives compressés. Bien que la majorité des logiciels d'expertise judiciaire en informatique puissent lire les fichiers compressés à partir d'une image de disque, vous devrez peut-être décompresser les fichiers archivés pour examiner tous les fichiers du support que vous analysez.

  4. Créez un diagramme de la structure de fichiers. Il peut être utile de représenter sous forme graphique la structure des répertoires et des fichiers sur les supports de stockage pour effectuer une analyse efficace des fichiers.

  5. Identifiez les fichiers présentant un intérêt particulier. Si vous savez quels sont les fichiers qui ont été affectés par l'incident de sécurité, vous pouvez d'abord concentrer votre enquête sur ces fichiers. Les codes de hachage créés par la National Software Reference Library(Bibliothèque nationale de références de logiciels) peuvent être utilisés pour comparer les fichiers connus (tels que les fichiers d'applications et du système d'exploitation) aux originaux. Les fichiers correspondants peuvent en principe être supprimés de l'enquête. Vous pouvez également consulter des sites tels que filespecs.com, Wotsit's Format, ProcessLibrary.com et DLL Help de Microsoft pour vous aider à organiser et à recueillir des informations sur les formats de fichiers existants ainsi que pour identifier les fichiers.

  6. Examinez le registre, la base de données qui contient les informations de configuration de Windows, pour rechercher des informations sur le processus de démarrage de l'ordinateur et les applications installées (y compris celles qui sont chargées pendant le démarrage) ainsi que des informations d'ouverture de session telles que le nom d'utilisateur et le domaine de connexion. Pour obtenir des informations complémentaires sur le registre et une description de son contenu, consultez la page Windows Server 2003 Resource Kit Registry Reference. Divers outils sont disponibles pour l'analyse du registre, parmi lesquels RegEdit, livré avec le système d'exploitation Windows, Windows Sysinternals RegMon for Windows et Registry Viewer d'AccessData.

  7. Examinez le contenu de tous les fichiers que vous avez rassemblés afin d'identifier ceux qui présentent un intérêt. Diverses recherches avancées peuvent être effectuées à l'aide des outils de la section Outils de l'Annexe Ressources de ce guide. Vous pouvez, par exemple, utiliser l'outil Streams de Windows Sysinternals pour déterminer si des flux de données NTFS alternatifs sont utilisés sur les fichiers et les dossiers. Les flux de données alternatifs NTFS peuvent masquer les informations d'un fichier en le faisant apparaître comme contenant 0 octet de données lorsqu'il est consulté via Windows Explorer alors que ce fichier contient bien des données masquées.

  8. Étudiez les métadonnées des fichiers qui présentent un intérêt à l'aide d'outils tels qu'Encase de Guidance Software, The Forensic Toolkit (FTK) d'AccessData ou ProDiscover de Technology Pathways. Les attributs de fichiers tels que les horodatages peuvent indiquer l'heure de la création, du dernier accès et de la dernière écriture, ce qui peut souvent s'avérer utile dans l'enquête d'un incident.

  9. Utilisez des visionneuses de fichier pour afficher le contenu des fichiers identifiés. Cela vous permettra d'analyser et d'avoir un aperçu des fichiers et ce, sans les applications d'origine qui les ont créés. En plus de protèger les fichiers contre les dommages accidentels, cette méthode est souvent plus rentable que l'utilisation de l'application native. Notez que les visionneuses sont spécifiques à chaque type de fichier. Si aucune visionneuse n'est disponible, utilisez l'application native pour examiner le fichier.

Après avoir analysé toutes les informations disponibles, vous serez peut-être à même de parvenir à une conclusion. Il est important d'être vigilant à ce stade de l'enquête et de veiller à ne pas imputer les dommages à une partie innocente. Cependant, si vous êtes certain de vos conclusions, vous pourrez débuter la phase de rapport de l'enquête.

Téléchargement

Téléchargez le Guide des principes fondamentaux de l'enquête informatique pour Windows

Notifications de mise à jour

Inscrivez-vous pour obtenir lesmises à jour et nouvelles versions

Commentaires

Envoyez-nous vos commentaires et suggestions

Haut de page

  • Last updated on