17 octobre 2008

Live view

Il est parfois étrange de constater comment mon activité professionnelle peut être alimentée par mon activité d'expert judiciaire en informatique, et réciproquement.

J'ai déjà vanté ici les mérites des machines virtuelles pour allumer un PC virtuel copie conforme du PC sous scellé. Les outils ne manquent pas: virtualbox, virtualpc, Oracle VM, QEMU, Xen, etc.

Après avoir testé plusieurs d'entre eux et les avoir mis en place pour la réalisation de séances de travaux pratiques (TP d'études de différents systèmes d'exploitation, analyse réseaux, etc), j'utilise avec succès les produits VMware dans le service informatique: d'abord VMware workstation, puis player, server et maintenant ESXi (gratuite depuis quelques semaines).

J'ai finalement mis en place en salle serveur la solution VMware ESXi, dans sa version gratuite. Et après quelques semaines de tests, elle est entrée en production. Chaque serveur fait tourner entre deux et quatre machines virtuelles, et nous sommes en train de migrer tous nos serveurs vers cette solution.

En quoi cette solution peut-elle être utilisée dans le cadre d'une expertise judiciaire informatique? Tout simplement, comme je l'expliquais dans ce billet, s'il est important de disposer des logiciels permettant de procéder à l'analyse inforensique d'une image de disque dur, il est intéressant et plutôt pratique de pouvoir démarrer une copie de l'ordinateur. Et pour éviter de déployer l'image sur un ordinateur matériel, l'idée d'utiliser des machines virtuelles surgit naturellement.

Comment? Et bien il suffit par exemple de convertir l'image numérique du disque dur en une machine virtuelle VMware à l'aide du logiciel Live View.

Du point de vue ressource, Live View vous permet de travailler en lecture seule sur la copie du disque dur, les modifications inévitablement effectuées par le système d'exploitation étant conservées sur un autre disque dur virtuel (qu'il est facile d'effacer rapidement).

Vous disposez ainsi d'une machine virtuelle redémarrable et réinitilisable à l'infini, sur laquelle il est possible de mener quelques investigations simples qui pourront être vérifiées de façon probante sur la "photographie" du scellé d'origine (l'image du disque dur ou de la clef USB): organisation générale du disque dur, logiciels installés, liens présents sur le bureau, fichiers de la corbeille, fond d'écran, raccourcis vers supports externes, etc.

A noter pour les experts judiciaires fortunés, que Live View semble pouvoir travailler avec des images provenant d'EnCase® Forensic. A 5000 euros la licence, je n'ai pas le volume d'affaires pour m'offrir cet outil performant...

Un dernier truc concernant Live View: je ne l'ai utilisé que pour créer des machines virtuelles Windows. Il semble n'avoir qu'un support limité de Linux. Cela ne me gène pas car pour l'instant, je n'ai jamais eu à analyser de machines Linux de cette façon là. Du coup, pour éviter au maximum les problèmes d'activation de l'OS, il faut "coller" au plus près des caractéristiques physiques de la machine initiale (comme la taille mémoire). Si tout va bien, vous pourrez redémarrer autant de fois que vous le souhaitez, à condition de réinitialiser l'image "from scratch". Dans le cas d'un Windows XP sans service pack, il faudra passer par la procédure d'activation...

Mais dans tous les cas, comme je j'avais déjà indiqué, avec Live View, la vue, c'est la vie rtualisation:)

6 commentaires:

  1. > cet outil performant

    Performant à quoi à part faire exploser votre budget licences ?

    Cet outil a effectivement l'air d'être un incontournable de l'analyse forensics, mais c'est fou le mal que je peux en entendre, en tout cas par rapport à des choses simples et largement éprouvées comme un dd et une collection de scripts et outils très spécialisés.

    RépondreSupprimer
  2. Tiens ça me rappelle que le CERT a des cours en ligne dont quelques uns sur Liveview :
    https://river.vte.cert.org/p21685242

    Plein de cours forensic sont en accès libre :
    https://www.vte.cert.org/vteweb/Library/Library.aspx

    éducatif tout ça :)

    RépondreSupprimer
  3. @Sid: Donnez moi 5000 euros et je vous promets que je testerai cet outil pour vous...

    @Dnucna: Merci pour les liens.

    RépondreSupprimer
  4. J'avoue que je n'ai encore testé ni Xen, ni VMWare, etc. Je n'ai qu'un temps limité à passer en "hacks systèmes".

    Pourriez-vous envisager de poster un billet résumant les utilisation, avantages et inconvénients de ces différents systèmes de virtualisation?

    RépondreSupprimer
  5. En somme, vous faite du clonage virtuel d'ordinateur !

    Ce serait-bien que l'on puisse faire de même avec le vivant.

    RépondreSupprimer
  6. sinon pour le clonage de disque, virtualbox fait ca en natif.

    VBoxManage internalcommands createrawvmdk -filename -rawdisk \\.\PhysicalDrive# (/dev/sdxX)

    pour voir les volumes sous windows: wmic diskdrive list

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.