🐶Autopsy

Autopsy est un outil polyvalent pour l'examen forensique des données informatiques, offrant des fonctionnalités avancées pour aider les enquêteurs à récupérer des informations cruciales.

🔍 Fonctionnalités d'Autopsy

💿 Analyse de Disque : Autopsy permet d'analyser les disques durs et les partitions pour rechercher des preuves numériques pertinentes. Il prend en charge une variété de formats de disque et de systèmes de fichiers courants.

📁 Récupération de Fichiers Supprimés : L'outil permet de récupérer des fichiers supprimés à partir du disque, ce qui peut être crucial dans le cadre d'une enquête pour retrouver des preuves effacées.

🧠 Examen de la Mémoire : Autopsy peut également analyser la mémoire volatile d'un système pour rechercher des processus, des connexions réseau, des fichiers ouverts et d'autres artefacts qui pourraient être utiles dans une enquête.

📂 Analyse des Fichiers : Il offre une analyse approfondie des fichiers, y compris l'extraction des métadonnées, la recherche de mots-clés, la visualisation des fichiers multimédias, etc.

🤔 Recherche Intelligente : Autopsy dispose d'un moteur de recherche puissant qui permet de rechercher rapidement des fichiers, des mots-clés, des dates, des types de fichiers et d'autres critères dans le système de fichiers.

📊 Création de Rapports : Il permet de générer des rapports complets et personnalisables sur les résultats de l'analyse, ce qui facilite la documentation et la présentation des conclusions de l'enquête.

🖲️ Support pour les Plugins : Autopsy est extensible grâce à son architecture de plugins, ce qui permet d'ajouter des fonctionnalités supplémentaires en fonction des besoins spécifiques de l'utilisateur ou des exigences de l'enquête.

💻 Interface Conviviale : L'interface utilisateur graphique d'Autopsy est intuitive et conviviale, ce qui facilite la navigation et l'utilisation de ses fonctionnalités, même pour les utilisateurs novices.

🔨 Intégration avec d'Autres Outils : Il peut être intégré à d'autres outils d'investigation numérique et de cybersécurité pour une analyse plus approfondie et une corrélation des résultats.

📂 Récupération de fichier supprimés

Lorsque vous supprimez un fichier de votre ordinateur, son emplacement est effacé de la liste des fichiers. Cependant, les données du fichier restent sur le disque tant qu'elles ne sont pas écrasées par de nouvelles informations.

Pour récupérer des fichiers supprimés, on peut utiliser des outils spéciaux qui examinent le disque pour retrouver ces données non allouées.

📷 Image disque

Une image disque est comme une photo de tout ce qui se trouve sur un disque dur. Elle contient une copie exacte de toutes les données, y compris les fichiers et les dossiers. Les images disque sont utilisées pour sauvegarder des preuves ou des données importantes.

Il est important d'utiliser une image (copie) pour investiguer sans alterer ou compromettre des preuves.

🐕 Exemple d'utilisation :

Lancer Autopsy et créer un nouveau cas :

  • Entrer un nom et un chemin pour votre projet :

  • Cliquer sur suivant :

  • Selectionnez du type de source de données :

  • Emplacement de la source de donnée a examiner (usb,disque ect ...) :

  • Sélection des modules, pour notre cas on en a pas besoin :

🔒 Les modules d'Autopsy sont des fonctionnalités intégrées qui permettent d'effectuer différentes analyses et actions sur les données.

Voici à quoi servent certains des modules les plus couramment utilisés :

📁 File Type Sorting Module : Ce module permet de trier les fichiers par type, ce qui facilite l'identification des différents types de fichiers présents sur le disque.

🔍 Keyword Search Module : Ce module permet de rechercher des mots-clés spécifiques dans les fichiers, ce qui est utile pour trouver des informations pertinentes lors d'une enquête.

🔐 Hash Lookup Module : Ce module permet de rechercher des hachages (hashes) de fichiers dans des bases de données de hachages connus, ce qui peut aider à identifier les fichiers malveillants ou suspects.

⏰ Timeline Analysis Module : Ce module crée une chronologie des activités sur le disque, ce qui peut être utile pour reconstituer les événements et les actions qui ont eu lieu sur le système.

🖼️ Thumbnail Viewer Module : Ce module génère des miniatures des images présentes sur le disque, ce qui permet de visualiser rapidement le contenu des images.

🔍 Registry Analysis Module : Ce module analyse la base de registre du système, ce qui peut fournir des informations importantes sur les activités et les configurations du système.

🛠️ Data Carving Module : Ce module permet de récupérer des fichiers supprimés en analysant les espaces non alloués sur le disque, ce qui peut être utile pour récupérer des données importantes qui ont été accidentellement effacées.

📝 Keyword Lists Module : Ce module permet de créer des listes de mots-clés personnalisées pour effectuer des recherches spécifiques sur les données.

Ces modules, parmi d'autres, offrent une gamme d'outils et de fonctionnalités pour l'analyse forensique des données informatiques.

  • Data Sources : toutes les données seront organisées comme vous le verriez généralement dans un explorateur de fichiers Windows normal.

  • Views : les fichiers seront organisés en fonction des types de fichiers, des types MIME, de la taille du fichier, etc.

  • Results : C'est ici que les résultats des modules d'ingestion apparaîtront.

  • Tags - Affichera les fichiers et/ou les résultats qui ont été balisés (en savoir plus sur le balisage ici).

  • Reports : Affichera les rapports générés par les modules ou par l'analyste (en savoir plus sur les rapports ici).

  • Détail de l'interface :

  • Extraire les fichiers est utile dans certains cas où vous avez besoin d'accéder directement aux données pour les examiner en dehors d'Autopsy ou pour les utiliser comme preuves dans d'autres contextes juridiques ou techniques.

📋 Tableau de la Visionneuse de Résultats

Lorsque vous ouvrez la visionneuse de résultats dans Autopsy et cliquez sur un dossier ou un fichier, des informations supplémentaires apparaissent dans le volet de la visionneuse de contenu. Voici ce que vous pouvez voir dans ce volet :

📊 Colonnes

  1. s = Score : Le score indique le niveau de pertinence du dossier ou du fichier. Un point d'exclamation rouge signifie que le dossier ou le fichier est marqué comme notable, tandis qu'un triangle jaune pointant vers le bas indique qu'il est marqué comme suspect. Ces marques peuvent être attribuées par un module d'ingestion ou par l'analyste.

  2. c = Commentaire : Si une icône de page jaune est visible dans cette colonne, cela signifie qu'il existe un commentaire associé au dossier ou au fichier. Les commentaires peuvent fournir des informations supplémentaires ou des observations pertinentes pour l'analyse.

  3. Ô = Occurrence : Cette colonne indique le nombre de fois que le fichier ou le dossier a été vu dans des cas précédents. Cela peut être utile pour évaluer la récurrence ou la pertinence du fichier dans différents cas d'investigation. Cette fonctionnalité nécessite l'utilisation du Référentiel Central.

📝 Générer un Rapport

Pour documenter vos conclusions, Autopsy vous permet de créer des rapports dans divers formats. Ces rapports compilent toutes les informations répertoriées dans la Visionneuse de Résultats. Bien que pratiques pour archiver les résultats de votre enquête, les rapports ne proposent pas de fonctionnalités de recherche supplémentaires. Vous devrez donc examiner manuellement les artefacts pour trouver des détails spécifiques.

🎨 Conseil

L'utilisation d'Autopsy peut être exigeante pour les systèmes avec des ressources limitées, entraînant des ralentissements ou des blocages, surtout lors de l'examen de résultats étendus. Pour éviter cela, utilisez les rapports générés par Autopsy pour analyser les données sans avoir besoin de l'interface graphique. Cela facilite la gestion de l'enquête, même sur des systèmes moins puissants.

🖍️ Procédure pour Générer un Rapport

  1. Dans Autopsy, sélectionnez l'option "Générer un Rapport".

  2. Choisissez le format et la portée du rapport.

  3. Une fois configuré, Autopsy générera le rapport.

  4. Vous pouvez afficher le rapport dans votre navigateur en cliquant sur la section "Rapport HTML".

En utilisant cette fonctionnalité, vous pouvez documenter vos conclusions et réexaminer les résultats à tout moment, même après la fin de l'enquête en direct.

Accéder à votre rapport grâce au lien en dessous de la barre de chargement.

Exemple de rapport

📄 Résumé des Sources de Données

L'onglet Summary fournit un aperçu condensé des résultats de l'ensemble de votre enquête, regroupés en neuf catégories distinctes. Cette vue d'ensemble facilite l'identification des points clés et des tendances significatives dans les données examinées.

Dans Autopsy, les outils de visualisation offrent des fonctionnalités puissantes pour explorer les données de manière approfondie. Voici un aperçu des principales fonctionnalités :

  • 💻 Images/Vidéos: Cette fonctionnalité permet de visualiser les images et les vidéos. Elle offre des options pour examiner visuellement le contenu multimédia.

  • 📞 Communications: Cet outil permet d'analyser les communications telles que les e-mails, les messages instantanés, etc. Il fournit des moyens pour étudier les échanges numériques.

  • Chronologie: L'outil de chronologie organise les événements dans une vue temporelle. Il comprend trois zones :

PreviousOutilsNextRedline

Last updated