10 février 2007

Les outils d'un expert judiciaire

J'inaugure avec ce billet une nouvelle rubrique qui sera consacrée aux outils que j'utilise (ou que j'aimerais utiliser) lors de mes expertises.

Outil n°1, loin devant tous les autres: Linux, ,ou plutôt, certaines distributions Linux, comme l'une de mes favorites: HELIX.
Il s'agit d'un live CD permettant entre autre chose la prise d'image d'un disque dur et son analyse en profondeur.

Voici son contenu actuel:
# sleuthkit : Brian Carrier's replacement to TCT.
# autopsy : Web front-end to sleuthkit.
# mac-robber : TCT's graverobber written in C.
# fenris : debugging, tracing, decompiling.
# wipe : Secure file deletion.
# MAC_Grab : e-fense MAC time utility.
# AIR : Steve Gibson Forensic Acquisition Utility.
# foremost : Carve files based on header and footer.
# fatback : Analyze and recover deleted FAT files.
# md5deep : Recursive md5sum with db lookups.
# sha15deep : Recursive sha1sum with db lookups.
# dcfldd : dd replacement from the DCFL.
# sdd : Specialized dd w/better preformance.
# PyFLAG : Forensic and Log Analysis GUI.
# Faust : Analyze elf binaries and bash scripts.
# e2recover : Recover deleted files in ext2 file systems.
# Pasco : Forensic tool for Internet Explorer Analysis.
# Galleta : Cookie analyzer for Internet Explorer.
# Rifiuti : "Recycle BIN" analyzer.
# Bmap : Detect & Recover data in used slackspace.
# Ftimes : A toolset for forensic data acquisition.
# chkrootkit : Look for rootkits.
# rkhunter : Rootkit hunter.
# ChaosReader : Trace tcpdump files and extract data.
# lshw : Hardware Lister.
# logsh : Log your terminal session (Borrowed from FIRE).
# ClamAV : ClamAV Anti Virus Scanner.
# F-Prot : F-Prot Anti Virus Scanner.
# 2 Hash : MD5 & SHA1 parallel hashing.
# glimpse : Indexing and query system.
# Outguess : Stego detection suite.
# Stegdetect : Stego detection suite.
# Regviewer : Windows Registry viewer.
# Chntpw : Change Windows passwords.
# Grepmail : Grep through mailboxes.
# logfinder : EFF logfinder utility.
# linen : EnCase Image Acquisition Tool.
# Retriever : Find pics/movies/docs/web-mail.
# Scalpel : Carve files based on header and footer.
Evidemment, j'invite tous les passionnés à tester ces outils et à les maitriser, ainsi que les professeurs (souvent passionnés également) à les utiliser pour leurs enseignements.

Je découvre à chaque fois de nouveaux outils dans cette distribution dont je n'utilise pour l'instant qu'un petit pourcentage.

Je parlerai de certains de ces outils plus en détails plus tard et dans cette rubrique.

5 commentaires:

  1. Bonsoir,

    Pour Linux, vous avez un excellent outil commercial de la société ASRDATA http://www.asrdata.com/, qui se nomme SMART.
    C'est un des seuls logiciels commerciaux qui existe sous Linux. Son créateur est la personne qui est à l'origine de Encase et qui a ensuite fondé sa propre société.
    Il y a une version d'évaluation sur le site, qui donne une bonne idée de ses possibilités.
    Sinon je vous rejoins sur Helix : ensemble d'outils très performants. Pour ma part, même avec Helix je monte les disques à imager avec un drivelock. Je suis peut-être trop prudent.

    RépondreSupprimer
  2. Bonjour,

    Pour les amateurs de linux, il ne faut pas oublier la FCCU :
    http://www.lnx4n6.be
    sans doute plus spécialement destinée à ceux qui sont à l'aise avec la ligne de commande.

    J'en profite pour mentionner Vinetto, un outil d'extraction des vignettes thumbs.db, initialement développé à l'intention de cette dernière distribution ;)

    RépondreSupprimer
  3. Si je peux me permettre, celui-ci (avec photorec aussi) est extremement impressionnant dans sa categorie. Le mainteneur est francais et tres sympathique.
    TestDisk

    RépondreSupprimer
  4. Quelle horreur ! un EULA restrictif qui en fait un logiciel propriétaire... j'avais cru que c'était un simple dérivé de KNOPPIX mais la licence de ce "Helix" n'est pas libre du tout ! ! ! une honte ! des volontaires pour en faire une version libre ? (dans le style de CentOS)

    RépondreSupprimer
  5. aadn115@gmail.com17 avril 2007 à 14:06

    il est vrai qu'en lisant la licence, c'est assez brutal.
    Bon la distrib est "roots" et j pense qu'elle est parfaite pour un non geek, idem pour cette connerie de SMART qui n'offre absolument rien d'exceptionnel.
    il faut garder à l'esprit que ce sont de vulgaires liveCD avec 15 ou 20 applicatifs spécifiques à l'analyse médico légale.
    Désolais pour la critique que je fait des ces live OS mais rien ne vaut votre machine sous Debian ou autre avec un rack externe pour faire les expertises de disques. Sécurité = lire et compiler ses sources soi meme (pas de bin !!)
    J'pense que si je me trouve face a un bonhomme qui fait des expertises avec des liveCD, j'lui dit clairement de retourner sous windows avec EnCase 4, 5 ou 6 ou RStudio.
    Linux, c'est génial car on trouve tous les softs dont on a besoin mais pas en version liveCD
    N'oubliez pas que ces distrib sont faites à la base pour des audits sécu réseau et pour la maintenance dans le cas de plantage de serveur ou autre, pas d'expertise sur un os qui tourne en mémoire.

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.