La trousse à outil des Geek de la sécurité numérique

Vos commentaires, avis et suggestions sont attendus

Voici un premier article sur les outils d’investigations numériques. Merci de le compléter ! Cette traduction est issue d’un excellent article anglais de C.Kumar.
Attention: L’installation de telles applications sur des systèmes, permettent évidemment de faciliter, voir rendre possible des investigations sinon difficiles, ou impossibles. Mais elles peuvent aussi servir à des malveillants, s’ils peuvent les détourner pour leur propre usage. (Pascal Kotté)

Traduction de: https://geekflare.com/forensic-investigation-tools/ par BY CHANDAN KUMAR | FEBRUARY 17, 2018 — Merci

Les outils sont les meilleurs amis de l’administrateur. L’utilisation des outils appropriés vous aide à faire avancer les choses plus rapidement et à vous rendre productif.
Les investigations sont toujours un défi car vous devez rassembler toutes les informations que vous pouvez pour établir des preuves et alimenter les plans d’atténuations.
Voici quelques-uns des outils d’investigations informatiques dont vous auriez besoin. La plupart d’entre eux sont libres !

Liste des outils

1. Autopsy

Autopsy est un programme d’investigation numérique à code source ouvert basé sur une interface graphique permettant d’analyser efficacement les disques durs et les téléphones intelligents. Autospy est utilisé par des milliers d’utilisateurs dans le monde entier pour enquêter sur ce qui s’est passé dans l’ordinateur.

Il est largement utilisé par les examinateurs d’entreprise, les militaires pour enquêter et certaines de ses fonctionnalités.

  • Email analysis (analyse des emails)
  • File type detection (contrôle des fichiers)
  • Media playback
  • Registry analysis
  • Photos recovery from memory card (recouvrement de photos)
  • Extract geolocation and camera information from JPEG files (exif)
  • Extract web activity from browser (historique)
  • Show system events in graphical interface (visualisation des logs)
  • Timeline analysis (séquence d’événements)
  • Extract data from Android — SMS, call logs, contacts, etc.

Nombreux rapports pour générer en HTML, et au format de fichier XLS.

2. Encrypted Disk Detector

Encrypted Disk Detector peut être utile pour vérifier les disques physiques cryptés. Il prend en charge les volumes chiffrés TrueCrypt, PGP, BitLocker, Safeboot.

3. Wireshark

Best LAN analyser que j’ai pu utiliser (Pascal Kotté)

Wireshark est un outil de capture et d’analyse de réseau permettant de voir ce qui se passe sur votre réseau. Wireshark sera utile pour enquêter sur un incident lié au réseau.

4. Magnet RAM Capture

On peut utiliser Magnet RAM capture pour pomper la mémoire physique d’un ordinateur et analyser des artefacts en mémoire, mais uniquement sous Windows OS.

5. Network Miner

An interesting network forensic analyzer for Windows, Linux & MAC OS X to detect OS, hostname, sessions and open ports through packet sniffing or by PCAP file. Network Miner provides extracted artifacts in an intuitive user interface.

6. NMAP

NMAP (Network Mapper) est l’un des réseaux les plus populaires et des outils d’audit de sécurité. NMAP est pris en charge sur la plupart des systèmes d’exploitation, notamment Windows, Linux, Solaris, MAC OS, HP-UX, etc. Il est open source, donc gratuit.

Errata: Ce n’est pas car cela est “open source” que c’est libre, mais puisque c’est une licence GNU GPL véritablement libre, alors c’est aussi “open source”, et accessoirement, celui-ci est aussi gratuit… (Pascal Kotté)

7. RAM Capturer

RAM Capturer by Belkasoft est un outil gratuit permettant de pomper les données de la mémoire volatile de l’ordinateur. C’est compatible avec Windows OS. Les ‘dump’ de mémoire peuvent contenir le mot de passe du volume chiffré et les identifiants de connexion pour les webmails et les services de réseaux sociaux.

8. Forensic Investigator

Si vous utilisez Splunk, alors Forensic Investigator will be a convenient tool. It’s Splunk app and has many tools combined.

  • WHOIS/GeoIP lookup
  • Ping
  • Port scanner
  • Banner grabber
  • URL decoder/parser
  • XOR/HEX/Base64 converter
  • SMB Share/NetBIOS viewer
  • Virus Total lookup

9. FAW

FAW (Forensics Acquisition of Websites) permet d’acquérir des pages Web pour l’investigation numériques qui a les caractéristiques suivantes.

  • Capture tout ou partie de sites web
  • Capture tout type d’images
  • Capture HTML source code de la page web
  • Integration avec Wireshark

10. HashMyFiles

https://www.nirsoft.net/utils/hash_my_files.html

HashMyFiles vous aidera à calculer les hachages MD5 et SHA1. Cela fonctionne sur presque tous les derniers systèmes d’exploitation Windows.

11. USB Write Blocker

Affichez le contenu des clés USB sans laisser d’empreinte digitale, sans modifier les métadonnées ni l’horodatage. USB Write Blocker utilise le registre Windows pour bloquer en écriture les périphériques USB.

Voir aussi: https://www.forensicswiki.org/wiki/Write_Blockers

12. Crowd Response

Response par Crowd Strike est une application Windows permettant de collecter des informations système pour la réponse aux incidents et les missions de sécurité. Vous pouvez afficher les résultats en XML, CSV, TSV ou HTML à l’aide de CRConvert. Il fonctionne sur 32 ou 64 bits de Windows XP ci-dessus.
Crowd Strike propose d’autres outils d’investigation utiles.

  • Totrtilla — acheminer anonymement le trafic TCP / IP et DNS via TOR.
  • Shellshock Scanner — analyser votre réseau pour la vulnérabilité shellshock
  • Heartbleed scanner — analyser votre réseau pour détecter la vulnérabilité de purge de cœur OpenSSL

13. NFI Defraser

Defraser peut vous aider à détecter des fichiers multimédia complets et partiels dans les flux de données.

14. ExifTool

ExifTool vous aide à lire, écrire et éditer les méta-informations pour un certain nombre de types de fichiers. Il peut lire EXIF, GPS, IPTC, XMP, JFIF, GeoTIFF, Photoshop IRB, FlashPix, etc.

15. Toolsley

Toolsley a plus de dix outils utiles pour enquêter.

  • File signature verifier
  • File identifier
  • Hash & Validate
  • Binary inspector
  • Encode text
  • Data URI generator
  • Password generator

16. SIFT

SIFT (SANS investigative forensic toolkit) La machine virtuelle (appliance) est disponible gratuitement sous Ubuntu 14.04. SIFT est une suite d’outils d’investigations dont vous avez besoin et l’une des plateformes de réponse aux incidents open source les plus populaires..

17. Dumpzilla

http://www.dumpzilla.org/

Extrayez toutes les informations intéressantes des navigateurs Firefox, Iceweasel et Seamonkey à analyser avec Dumpzilla.

18. Browser History

Foxton a deux outils passionnants gratuits.

  1. Browser history capturer — capture web browser (chrome, firefox, IE & edge) historique sur Windows OS.
  2. Browser history viewer — extraire et analyser l’historique d’activité Internet de la plupart des navigateurs modernes. Les résultats sont affichés dans le graphique interactif et les données historiques peuvent être filtrées.

19. ForensicUserInfo

Extrayez les informations suivantes avec ForensicUserInfo.

  • RID
  • LM/NT Hash
  • Password reset/Account expiry date
  • Login count/fail date
  • Groups
  • Profile path

20. Black Track

https://www.backtrack-linux.org/tutorials/backtrack-forensics/

Blacktrack est l’une des plates-formes les plus populaires pour les tests d’intrusion, mais elle a aussi des capacités d’investigations.

21. Paladin

PALADIN forensic suite — La suite d’investigations de Linux la plus célèbre au monde est une distro modifiée basée sur Ubuntu disponible en 32 et 64 bits.

Paladin dispose de plus de 100 outils dans 29 catégories, ce qui vous donne presque tout ce dont vous avez besoin pour enquêter sur un incident. Autospy est inclus dans la dernière version — Paladin 6.

22. Sleuth Kit

The Sleuth Kit est un ensemble d’outils de ligne de commande permettant d’enquêter et d’analyser les systèmes de volumes et de fichiers afin de trouver des preuves.

23. CAINE

CAINE (Computer Aided Investigate Environment) est une distribution Linux qui offre une plate-forme d’investigations complète comprenant plus de 80 outils pour analyser, étudier et créer un rapport exploitable..

J’espère que les outils ci-dessus vous aideront à gérer l’incident plus efficacement et à accélérer le processus d’enquête. Vous pouvez également être intéressé par learning computer forensic skills.