Acquisition d’image disque en Forensics – ForensGeek

Forensics

Bonjour à tous, en ce beau jour de printemps je commence une série d’article sur la forensisc (l’inforensique, computer forensics, ou juste forensics dans la pratique). Je commence avec cet article sur l’acquisition d’image disque en Forensics comme c’est le début de tout dans ce domaine. Mais on va remonter doucement au fils des articles les techniques les plus courantes, en partant de la forensics « à froid » et on va essayer d’aller jusqu’à l’analyse « à chaud » avec les images mémoire et on verra si j’ai le courage d’aller jusqu’au image Android. Je vous garantie pas trop de tenir un rythme, mais je vais essayer de repasser sur les principaux sujets important et se faire un peu de contenus propre pour dérouler une analyse sur vos machines préféré.

Acquisition d’image disque en Forensics

FTK Imager

FTK imager est un outil commercial fait par la société AccessData (qui fait aussi un outils d’analyse forensics nommé Forensics Toolkit pour info). FTK imager permet de capturer « bit à bit » l’image complète d’un disque, dans différents formats.

L’avantage de FTK imager est que c’est un outils Windows qui vous permet de faire une image disque d’une machine alors qu’elle est démarrée. C’est beaucoup un « moins propre » puisque l’installation de l’outil va utiliser certains secteur du disque dur et donc modifier votre image. Du coup pour des sujets qui vont partir « au légal » c’est pas recommandé du tout de faire ça.

Néanmoins, dans le cadre d’analyse courantes pour chopper des infos sur une machine compromises par un malware lambda dans une filiales à l’autre bout du monde. Où vous n’avez pas un admin qui saura faire une capture à froid avec dd correctement ou que vous avez pas envie d’attendre 1 mois qu’il vous envoie la machine par la poste. Ca reste une solution plus pragmatique quand même

Niveau installation de l’outil, je passe rapidement, c’est du « next-next-next » après avoir télécharger le binaire.

Avant de vous lancer, vous devez quand même faire gaffe à 2 choses :

  1. Il n’y pas trop de moyen de faire des montages d’image disque en lecture seule logiciellement sur Windows. Du coup,
    1. soit vous faite un extract du disque système running et là vous êtes déjà hors de « l’état de l’art » donc c’est plus le sujet.
    2. Soit vous y aller « YOLO » en sachant ce que vous faite sur un disque externe et il ne faut pas vous louper. Si modifier l’image que vous aller analyser, c’est fini pour tout valeur légal de votre analyse.
    3. Soit vous êtes un habituer et la, le mieux, c’est d’utiliser un bloqueur hardware en écriture. Genre un truc comme ca ou ça :
  2. Vous aller faire une image disque complète bit à bit d’un disque, aujourd’hui un disque ça fait rapidement plusieurs centaines de Go voir quelques Tera. Du coup, vous allez rapidement avoir besoin de place, beaucoup de place. Donc aller faire un tour chez vos fournisseurs et achetez quelques caisses de gros HDD externe histoire d’avoir de la marge quand vos images vont commencer à arriver par paquet de dix.

Après pour capturer l’image c’est assez simple, suivez la procédure suivante après avoir lancer le logiciel:

Acquisition d’image disque en Forensics avec FTK imager

Étape 1 : file, Create Disk Image.

acquisition d'image disque en Forensics

Étape 2: Physical Drive.

acquisition d'image disque en Forensics

Étape 4 : Sélectionnez le disque à extraire dans la liste.

acquisition d'image disque en Forensics

Étape 5 : Sélectionnez « Add » pour ajouter une destination pour votre image. Par défaut, faite du dd (copie bit à bit, brute). Après dans certains cas (tuto, CTF, formation) on vous conseillera le format E01 qui a ses avantages. A vous de voir en fonction de vos besoin, sachant qu’il est possible de convertir une image raw en Encase Image assez facilement.

Le format E01 : Encase Image File Format

Le format E01 est souvent utilisé car il permet de segmenter les données par bloc de taille, chaque bloc étant contrôlé par un hash empaqueté dans le fichier, ce qui permet la détection de corruption facilement. Le découpage permet aussi d’éviter de manipuler des images disques monofichier de taille monstrueuse et d’avoir une meilleur garantie de conformité pour chaque fichier. Le format permet aussi de stocker avec de la compression les données pour limiter la taille et d’ajouter un en-tête décrivant par exemple la date d’acquisition, le nom de l’analyste ou encore des notes, facilitant le suivi des images dans le temps (Plus d’info par ici et la pour les curieux).

acquisition d'image disque en Forensics

Étape 6 : Indiquer les informations sur votre collecte.

acquisition d'image disque en Forensics

Étape 7 : indiquez ou vous voulez stocker les fichier de votre capturée.

acquisition d'image disque en Forensics

Étape 8 : cliquer sur Start pour lancer la capture

acquisition d'image disque en Forensics

Étape 9 : Attendez que la capture se fasse. Ca peut prendre un peu temps, c’est le moment d’aller prendre un café là.

acquisition d'image disque en Forensics

A la fin de la capture vous devriez voir apparaitre dans votre dossier cible les morceaux d’images disques demandé à FTK (à la taille indiqué à l’étape 7,ici 1500Mo, vous pouvez mettre 0 si vous souhaitez un seul fichier sans découpage).

acquisition d'image disque en Forensics

Et voilà, vous avez votre image prise depuis un Windows. Vous trouverez même un petit fichier txt à côté avec les informations de votre extractions et les hash correspondant. Permettant de contrôler que à posteriori la bonne santé de vos export.

Created By AccessData® FTK® Imager 4.5.0.3 

Case Information: 
Acquired using: ADI4.5.0.3
Case Number: 1
Evidence Number: SAURON-HDD1
Unique description: Tuto Geekerires.org !!!
Examiner: Etienne
Notes: Hello Forensics World

--------------------------------------------------------------

Information for S:\SauronHDD1:

Physical Evidentiary Item (Source) Information:
[Device Info]
 Source Type: Physical
[Drive Geometry]
 Cylinders: 121 601
 Tracks per Cylinder: 255
 Sectors per Track: 63
 Bytes per Sector: 512
 Sector Count: 1 953 525 168
[Physical Drive Information]
 Drive Model: Samsung SSD 970 EVO 1TB
 Drive Serial Number: 0025_385A_81B1_DCF4.
 Drive Interface Type: SCSI
 Removable drive: False
 Source data size: 953869 MB
 Sector count:    1953525168
[Computed Hashes]
 MD5 checksum:    8d68a79e5aaf6d00ce0df45a4916e2d2
 SHA1 checksum:   830268ae496d4c06cbe6d1f5c81dbbb21eab1f57

Image Information:
 Acquisition started:   Fri Mar 25 12:08:13 2022
 Acquisition finished:  Fri Mar 25 18:10:17 2022
 Segment list:
  S:\SauronHDD1.001
  S:\SauronHDD1.002
...

Notez qu’il existe d’autres logiciels de prise d’image disque comme FEX Imager, Encase Imager, Belkasoft Acquisition Tool. En tout ça FTK disk imager vous permet depuis un Windows de prendre une image à chaud du système courant mais aussi « à froid » d’un disque récupérer à droite et monté comme un disque externe.

Acquisition d’image disque en Forensics avec DD

Sauf si vous avez utiliser un bloqueurs d’écriture comme évoqué plus haut, votre image pourrait être contesté, car rien de prouve qu’elle n’a pas été modifié lors de la capture. Ce qui pourrait remettre en cause votre l’analyse, Windows ayant la facheuse tendance à monter le système de fichier en lecture écriture dès qu’on lui branche un disque. Comme je l’ai dis le ‘state of the art’ c’est bloqueur hardware.

Après dans la plupart des cas, quand vous récupérer un disque à analyser, les analystes vont le brancher depuis une machine Linux mais sans monter le filesystem. En utilisant avec une distribution dédié à la forensic (comme Caine ou SIFT) et avec un bloqueur d’écriture sur le chemin pour faire bonne mesure. Dans ce cas, la procédure de capture se fait avec dd ainsi :

> mkdir /forensicsdir/CaseX
> #Si /dev/sdX est votre device à capturer, calculer le hash d'origine
> sha256sum /dev/sdX > /mnt/forensicsdir/CaseX/imagesource.sha256

> # Effectuer la copie, les option sync,noerror sont impératives en forensics (man dd)
> dd if=/dev/sdX of=/mnt/forensicsdir/CaseX/imagename.img conv=sync,noerror bs=1MB

> #Controlez que vos hash sont identiques entre votre disque et l'image :
> sha256sum /mnt/forensicsdir/CaseX/imagename.img > /forensicsdir/CaseX/imagecaptured.sha256
> cat /forensicsdir/CaseX/*.sha256

Gestion des images

Notez ici qu’on a pas « monté » le système de fichier ici, on bosse en direct avec le /dev/. Dans tous les cas, faites toujours deux copies physiques distincte de votre image forensiques d’origine, pour au final avoir 3 images :

  1. Le disque d’origine récupéré : lui on y touche plus une fois la capture initiale effectuée pour ne pas risquer de modifier l’élément de preuves.
  2. Votre première image collectée ci-dessus et à stocker sur un disque externe ou un serveur dédié à ces usages. Pareil pourr celle-ci, on y touche plus. Elle va uniquement servir à fournir le 1er clone de travail aux analystes.
  3. Une seconde copie de l’image collecté, c’est elle qui va être utilisée en montage lecture seule pour l’analyse (si vous n’avez qu’un seul analyste) ou fournir les copies supplémentaires aux différents analystes.

Cette méthode est indispensable pour garantir l’intégrité de la preuve initiale et éviter la perte de donnée. C’est pas envisageable de dire dans un rapport d’analyse que le disque d’origine de preuve à rendu l’âme pendant qu’on travailler dessus, et que donc on a pas pu tout contrôler… Ceinture-bretelles avec deux copie d’origine et conservation de la source.

Quand je vous disait qu’il fallait du disque dur en stock pour bosser propre dans ce domaine…^^

Conclusion

Bon voilà, aujourd’hui on a vu comment capturer ses images disques à des fins d’analyse forensics soit avec FTK Imager sous windows ou depuis Linux avec DD. Je n’ai pas de méthode vraiment recommandée, je vous conseille d’adapter votre capture à vos besoins d’analyse.

Par exemple, est-ce que votre rapport d’analyse va finir devant un juge en cours d’assises avec potentiellement un second expert judiciaire qui va passer dessus en contre expertise ? Ou est-ce que vous cherchez des marqueurs de la dernière campagne de phishing sur votre entreprise pour les ajouter en détection dans votre SIEM ? Dans le premier, c’est le mode parano, vous ne pouvez rien perdre et tout doit être prouvé et prouvable sur plusieurs années. Dans le second, il faut aller vite et si on se loupe on peut surement retrouver un autre poste qui s’est fait pourrir ou des traces ailleurs.

Dernier conseil, achetez un bloqueur en écriture dès que vous sentez que l’activité commence à être régulière. Ça vous protège des erreurs et tout le monde est plus serein dans le labo comme ça…^^

Voilà, c’est tout pour l’acquisition d’image disque en Forensics. je vais essayer de tenir le rythme sur les TP mais bon… Dans les prochaine TP on attaquera les conversions dans les formats utilisable et les 1er artefacts sous Windows. Geekez bien !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.