23 janvier 2008

La vue, c'est la vie

J'ai déjà rapidement présenté comment je procède pour prendre une image du disque dur d'un scellé (lire ce billet).

En résumé:
- soit extraction du disque dur de l'unité centrale et mise en place dans un PC muni d'une carte giga et d'un bloqueur d'écriture, soit boot sur liveCD à partir du PC sous scellé après vérification des options du BIOS (débrancher le disque pour faire les essais de boot)
- côté PC de travail (sous Windows XP SP2, exécution sous cygwin, sinon exécution directe sous Linux) de "nc -l -p 2000 > image.dsk"
- côté disque dur scellé, sous HELIX ou sous DEFT, lancement dans un shell de la commande "dd if=/dev/sda | nc IP_PC_de_travail 2000"

J'obtiens ainsi une image numérique du disque dur à analyser.
La commande "dd" peut être avantageusement remplacée par "dcfldd", dc3dd ou en cas d'erreurs I/O sur le disque par "ddrescue"[1].
L'adresse IP_PC_de_travail utilisée dans la commande "nc" (netcat) peut aussi avantageusement être remplacée par celle d'un serveur samba, ce qui permet ensuite d'accéder au fichier image.dsk indifféremment depuis une machine Linux ou Windows (dans mon cas un "vieux" PC avec cinq disques SATA de 400 Go:).

Mais maintenant, que faire de ce gros fichier image.dsk?

Personnellement, j'utilise deux outils:
- sleut kit et autopsy pour l'analyse inforensique proprement dite.
- liveview pour démarrer l'image sous vmware (s'il s'agit d'un scellé sous Windows)

C'est ce dernier logiciel qui gagne l'honneur de fournir le titre du présent billet (avec une traduction très approximative).
Je dois dire que depuis l'utilisation de liveview et vmware, ma vision des scellés a considérablement changée. En effet, je "sens" beaucoup mieux l'organisation du stockage sur un Pc lorsqu'il est possible de naviguer à loisir sur celui-ci: organisation des icones sur le bureau, logiciels spécifiques que l'on peut exécuter, etc. L'image d'origine est protégée en lecture seule, un disque virtuel vient la compléter pour stocker tous les changements effectués (en général, il faut réactiver Windows XP pour pouvoir travailler dans la durée). Il suffit d'ajouter un disque dur partagé pour pouvoir récupérer toutes les données non effacées intéressantes.

L'utilisation des Sleut kit et Autopsy dépasse le cadre technique de ce blog, mais je recommande à tous les curieux de s'y exercer... C'est très instructif!

--------------------
[1] Dans le cas de problèmes I/O sur un disque dur, il me semble important d'effectuer la prise d'image rapidement et, pour ma part, de ne pas calculer le hash MD5 qui dans ce cas me semble soumis à des aléas.

8 commentaires:

  1. A propos de technique, le dernier numéro du magazine Misc pourrait vous interesser, entre autre le dossier forensic... Mais je suppose que ce maga fait déjà partie de vos lectures.

    Blabla

    RépondreSupprimer
  2. @blabla: votre commentaire ne pouvait pas mieux tomber... Je viens de recevoir aujourd'hui même une commande spéciale faite par internet: Misc janvier-février 2008 avec son dossier "Autopsie et forensic", et le Misc hors série d'oct-nov 2007 consacré aux tests d'intrusions.

    Vous avez en fait été devancé par un confrère qui m'a prévenu via une liste de diffusion réservée aux experts judiciaires.

    Mais merci du tuyau car je ne suis pas (encore) abonné à cette revue.

    RépondreSupprimer
  3. Votre blog est cité p46 dudit numéro ! Vous devenez de plus en plus celebre !

    RépondreSupprimer
  4. @blabla: dire que ce week-end j'ai dévoré ce numéro... en m'arrêtant à la page 30 pour tester TShark/Wireshark.
    Je crois que je vais m'abonner à cette EXCELLENTE revue :)

    RépondreSupprimer
  5. @zythom: J'ai dû jadis sauver des fichiers de disques durs endommagés. Scénario:

    1) Mettre le disque dur dans un berceau dans un PC fixe (maintenant j'utiliserais un rack USB).

    2) Copie secteur par secteur, comme vous le décrivez.

    Problème: quand le disque dur est endommagé, certains secteurs ne peuvent être lu. Le problème est que le disque essaye plusieurs fois (problème, réajustement des têtes etc.) le tout pour chaque secteur. Autrement dit, prévoir (à l'époque, avec des disques durs petits par rapport aux actuels) une journée voire plus de copie.

    Ce qui est tolérable pour un particulier pas tant pressé ne l'est pas pour un expert. Comment faites-vous? Peut-on dire aux disques durs de laisser tomber au premier essai infructueux?

    RépondreSupprimer
  6. un peu de compression ne fait pas de mal pour transferrer de grosses images...

    server:

    "nc -l -p 2000 | gunzip | > image.dsk"

    client:

    dd if=/dev/sda bs=512 | gzip | nc 2000

    RépondreSupprimer
  7. Par ailleurs : pourquoi passer par le réseau ? n'est-il pas possible de brancher le disque dur sur le PC de travail (derrière le bloqueur d'écriture) , pour faire une copie disque-à-disque ? On pourrait penser que la copie disque-à-disque serait plus rapide qu'une copie réseau, non ?

    RépondreSupprimer
    Réponses
    1. Il est souvent préférable de toucher le moins possible l'ordinateur mis sous scellé, en particulier un ordinateur portable qui n'est pas toujours pratique ou aisé à démonter.

      C'est également le cas en intervention à l'extérieur, en assistance à Huissier de Justice par exemple, où le propriétaire du PC ne voit pas d'un bon oeil le démontage de son matériel.

      Enfin, le matériel peut être sous garantie.

      Supprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.