Windows Forensics
Upcoming SlideShare
Loading in...5
×
 

Windows Forensics

on

  • 315 views

comment analyser une machine windows compromise

comment analyser une machine windows compromise

Statistics

Views

Total Views
315
Views on SlideShare
313
Embed Views
2

Actions

Likes
0
Downloads
16
Comments
0

1 Embed 2

http://www.linkedin.com 2

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Windows Forensics Windows Forensics Presentation Transcript

  • Tarek MOHAMED CHFI, CEH, ECSP http://www.linkedin.com/in/tarekmed tarekmed,rachdi@gmail.com Windows Forensics Comment analyser une machine Windows compromise
  • Objectif     Qu’est ce que se passe? Qui fait quoi? Obtenir une autre pièce du puzzle Collecter les données critiques (passwords, unencrypted data, etc …)  Collecter les informations sur les machines.
  • Pourquoi l’analyse à chaud(Live Forensics)? Généralement les tailles des disques des machines à analyser est trop gros:  la tendance d’augmentation du Capacité du disque est plus rapide que les processeurs.  La recherche et l’indexation prend du temps.  Les images des disques prend du temps.  Très difficile de saisir les systèmes.  Certaines données sont uniquement en mémoire vive (RAM).
  • Investigations en live  Prélever le temps système.  Les utisateures connectés à ce système .  Les fichiers ouverts.  Les informations réseaux.  Les connections réseaux.  Les informations sur les processus.  Les informations sur la mémoire.  Les informations sur les services  Les historiques des commandes.
  • System time • Relever le temps système de la machine en question:
  • Les utisateures connectés • Au cours de l’investigation il es très important de savoir: – Les utilisateurs logués en local. – Les sessions ouvertes à distance.. • PsLoggedOn :outil PsTools pour lister les utilisateurs qui se sont logués sur la machine locale ou distante.
  • Les utisateures connectés • • • • • • • On peut aussi voir les sessions ouvertes à distance avec la commande net sessions affiche qui est authentifié en local et à travers une ressources partagées netusers.exe /local > netusers_local.txt On peut aussi utiliser : netusers.exe /local /history > netusers_local_history.txt Afficher les dernières authentifications abouties avec succès : ntlast.exe -v -s > success.txt Afficher les dernières authentifications échouées : ntlast.exe -v -f > failed.txt Affiche les dernières authentifications interactives : ntlast.exe -v -i > interact.txt Affiche les authentifications distantes : ntlast.exe -v -r > remote.txt
  • les fichiers ouvertes • Voire les fichiers ouvertes à distance : – Par qui (l’utilisateur).(Psfile) – Par quel processus.(Handle)
  • les fichiers ouvertes – Par quel processus en temps réel:
  • Les connexions réseaux  voire les connexions actives.  Les états des ces connexions.  Les processus responsable du chaque connexion (PID).
  • Les processus • Liste des processus démarré dans le système.(Pslist)
  • Les processus • Liste modules et les DLLs utilisés par chaque processus (Listdlls).
  • Les processus • Liste des différents handle que les processus ont ouvert, d’où on peut savoir les ressources qu’un processus accède.(Handle)
  • Les processus • Liste des applications et taches ou processus associés actuellement activé sur un système à distance (Tasklist) NB: Tasklist /svc :Affiche les services de chaque processus.
  • Les processus • Visualiser en temps réel les processus actifs
  • Les processus • Visualiser en temps réel les activités des processus actifs
  • les mémoires • Liste des programmes actuellement chargés en mémoire.(la commande MEM) MEM [/PROGRAM | /DEBUG | /CLASSIFY] /PROGRAM ou /P Affiche un ‚tat des programmes actuellement en mémoire. /DEBUG ou /D Affiche un état des programmes et pilotes internes, ainsi que d'autres informations. /CLASSIFY ou /C Classe les programmes selon l'utilisation de la mémoire. affiche la taille de chaque programme, un résum‚ de l'occupation mémoire et la liste des blocs disponibles.
  • Les informations sur les services • Liste des services actifs.(PsService).
  • Les informations sur les registres • Suivre les activités en temps réel sur les registres
  • Automatisations des outils • Automatisation des collectes des informations avec les outils d’investigations: http://www.foolmoon.net/security/wft/
  • Merci 