Forensic - Virus

Soumis par frater le

J'ai dû retrouvé comment un virus était enter dans le systeme (et ce près d'un mois après son intrusion).

Voici rapidement les étapes que j'ai suivit (merci Mortis pour le cours).

Ces étapes peuvent aussi être utilisée pour savoir ce qui s'est réellement passer sur un PC a une date donnée.

Step 1:

Créer une image disque, je vous conseille fortement de booté sur une clé USB et de monté un disque dur externe en USB:

# dd if=/dev/[sda] of=/media/[USB1]/imagedisk.img

Step 2:

Sur une machine dédiée (Debian par exemple) vous devez regarder l'offset de la partition qui vous intéresse (colonne "Start").

Dans le sleuthkit, se trouve un très bon outils : mmls

# mmls imagedisk.img

step 3:

Sur le même PC, extrayez les meta-données fichiers, utilisez FLS

fls lists the files and directory names in a file system. It will process the contents of a given directory and can display information on deleted files,etc.

Le paramètre -o est la colonne "Start" de l'outils précédent, sans lui, vous n'aurez rien d'autre que un message d'erreur.

# fls -r -o 63 -m 'C:' imagedisk.img > ~/desktop/analyse/fls.txt

step 4:

Il ne reste plus qu'a générer la timeline (complete depuis même avant l'installation de la machine, 1996 (!)), l'outils est mactime

mactime -b fls.txt > ~/desktop/analyse/mactime.txt

step 5:

Dans cette time line, il faut rechercher le fichier et/ou le temps qui vous intéresse... et voir un peu avant, un peu après l'évenement que vous désirez creuser...

step 6:

Monter l'image en RO pour exploration:

mount -o loop,ro,offset=32256 -t ntfs imagedisk.img /mnt/loop

les 32256 sont en fait le résultat du calcul d'offset 63*512 (63 est l'offset en secteur, et 512 la taille d'un secteur)