Prefetch et Superfetch for Forensics – Forensgeek

Forensics

Bonjour à tous, aujourd’hui je continue la série de tutos Forensics et je vais vous parler des mécanismes de Prefetch et Superfetch.

C’est quoi le Prefetch et Superfetch ?

Prefetch (Prélecture en Français) sous Windows est une technique de préchargement des programme ou de mise en cache. En gros l’idée, c’est de manière à réduire les temps de chargement des gros exe (et donc l’expérience utilisateur) ou du boot de l’OS. L’idée c’est que Windows charge à l’avance en mémoire les binaires et données, pour les avoir direct sous la main quand il faudra les exécuter. La difficulté reste de prédire intelligemment les programmes qui vont être exécutés.

Un peu de contexte ! Dans les processus de gestion mémoire de Windows, il y a un module Windows Cache Manager qui surveille les données et programme que les processus charge depuis le disque en mémoire. Spécifiquement le Cache Manager va enregistrer les choses intéressantes à conserver lors du boot et au démarrage des processus ensuite. Les programmes et données à cacher sont ensuite placée dans le prefetch par le planificateur de tâches (Task scheduler) à la demande du Cache Manager. Au prochain boot ou à la prochaine exécution d’un programme, … Lire la suite

Acquisition d’image disque en Forensics – ForensGeek

Forensics

Bonjour à tous, en ce beau jour de printemps je commence une série d’article sur la forensisc (l’inforensique, computer forensics, ou juste forensics dans la pratique). Je commence avec cet article sur l’acquisition d’image disque en Forensics comme c’est le début de tout dans ce domaine. Mais on va remonter doucement au fils des articles les techniques les plus courantes, en partant de la forensics « à froid » et on va essayer d’aller jusqu’à l’analyse « à chaud » avec les images mémoire et on verra si j’ai le courage d’aller jusqu’au image Android. Je vous garantie pas trop de tenir un rythme, mais je vais essayer de repasser sur les principaux sujets important et se faire un peu de contenus propre pour dérouler une analyse sur vos machines préféré.

Acquisition d’image disque en Forensics

FTK Imager

FTK imager est un outil commercial fait par la société AccessData (qui fait aussi un outils d’analyse forensics nommé Forensics Toolkit pour info). FTK imager permet de capturer « bit à bit » l’image complète d’un disque, dans différents formats.

L’avantage de FTK imager est que c’est un outils Windows qui vous permet de faire une image disque d’une machine alors qu’elle … Lire la suite

Cybersécurité et PowerShell – le livre !

Bonjour à tous ! Ça y est mon « gros projet » dont je vous parle depuis un mois est sorti sur le site d’éditeur. Et je vous ai donc concocté un livre sur la Cybersécurité et PowerShell !

Cybersécurité et PowerShell, De l'attaque à la défense du système d'information

Voilà c’est mon livre de chevet depuis 6 mois maintenant. Çà m’a occupé mes congés d’été, et d’automne pour le terminer. J’y ai mis tout ce que je pensais utile pour commencer en cybersécurité en se servant de PowerShell. J’y raconte plein de chose que j’ai vu en 10 ans de sécurité des systèmes d’information maintenant. Le tout en 2 grande partie : l’attaque et la défense pour répondre à toutes vos questions sur la sécurité et en traitant les parties techniques avec PowerShell (il y a même un peu de Splunk à la fin du livre).

Je ne peux pas faire ce post sans remercier plein de gens. D’abord : Arnaud (twitter) qui m’a gentiment balancé devant le train mis en contact avec l’éditeur et proposé mon nom pour écrire l’ouvrage ! C’est grâce à lui que je me suis fait laver le cerveau j’ai appris à apprécier PowerShell. Je ne le remercierai jamais assez ! Ensuite, … Lire la suite