FTK Imager
Capturer la mémoire
Capturer la mémoire avec sert à figer les données volatiles (mots de passe, processus actifs, malwares) qui s'effaceraient définitivement à l'extinction de l'ordinateur.
Fichier > Capturer la mémoire
Créer une image disque
II. Procédure étape par étape
Source : Aller dans
File > Create Disk Image. Sélectionner Physical Drive (Lecteur physique).Sélection : Choisir le disque cible (dans l'exercice, celui de 21 Go).
Format de sortie : Choisir le format .E01 (Expert Witness Format).
Note : Ce format est le standard industriel utilisé par des logiciels comme EnCase ou Autopsy. Il permet de compresser les données et d'inclure des métadonnées.
Détails du cas : Remplir les informations (numéro de dossier, nom de l'enquêteur) pour la traçabilité.
Destination : Définir l'emplacement et le nom du fichier (ex:
Desktop\DiskImage).Lancement : Cliquer sur Start et attendre la fin de la barre de progression.
III. Intégrité et Vérification (Le Hachage)
C'est l'étape la plus cruciale après la copie. Une fois l'image terminée, FTK Imager génère des valeurs de hachage (MD5 et SHA-1).
À quoi ça sert ? C'est la "signature numérique" unique de l'image.
Preuve de non-altération : Si on change ne serait-ce qu'un seul bit (un seul pixel d'une photo ou une virgule dans un texte) sur l'image disque, le hash sera totalement différent.
Utilité juridique : Cela permet de prouver au tribunal que l'image analysée est la copie exacte du disque original et qu'elle n'a subi aucune corruption ou manipulation (tampering).
ProcDump
ProcDump (Suite Microsoft Sysinternals) Objectif : Extraire la mémoire d'un seul programme suspect (ex: un malware) plutôt que tout le système. C'est la méthode privilégiée en DFIR (Réponse aux incidents).
Étapes clés dans PowerShell (Admin) :
Identifier le processus :
Commande :
Get-Process | findstr -I <nom_du_programme>But : Trouver le PID (Process ID), par exemple
1688pour la calculatrice.
Extraire la mémoire (Dump) :
Commande :
.\procdump.exe -ma <PID>L'option
-mapermet de faire un dump complet du processus.
Résultat : Un fichier .dmp contenant uniquement les données de ce programme.
Kape
KAPE est un outil de triage ultra-rapide qui extrait uniquement les traces les plus importantes (historique, fichiers récents, logs) au lieu de copier tout le disque dur.
Étape 1 : Connexion à la cible (Remote)
Action : Tu ouvres la Connexion Bureau à distance (RDP).
Pourquoi : Pour accéder à la machine "suspecte" qui se trouve ailleurs sur le réseau.
Détails : Tu entres l'IP, l'utilisateur (
btlo) et le mot de passe.
Étape 2 : Transfert de l'outil
Action : Tu copies le dossier KAPE de ta machine d'analyse et tu le colles sur le bureau du PC distant.
Pourquoi : KAPE est un outil "portable". Il n'a pas besoin d'être installé sur la cible, ce qui évite de laisser trop de traces (respect des principes forensiques).
Étape 3 : Configuration de la collecte (gkape)
Tu lances gkape.exe et tu configures les 4 points cardinaux :
Use Target options : Tu coches cette case pour dire que tu veux collecter des fichiers.
Target Source : Tu sélectionnes le disque
C:(là où sont les preuves).Target Destination : Tu crées un dossier
outputpour stocker ce que KAPE va trouver.Targets (Le "Quoi") : Tu recherches "Browser" et tu coches Chrome. Tu demandes explicitement au logiciel d'aller chercher les bases de données SQL du navigateur.
Étape 4 : Exécution (The Run)
Action : Tu cliques sur Execute.
Ce qu'il se passe : Une fenêtre de commande noire (CLI) s'ouvre. KAPE parcourt le disque à toute vitesse, ignore les fichiers Windows inutiles et copie uniquement l'historique, les cookies et les extensions Chrome vers ton dossier
output.
Étape 5 : Exfiltration des preuves
Action : Une fois fini, tu copies le dossier
outputdu PC distant et tu le colles sur ton PC d'analyse.Pourquoi : Tu ne fais jamais l'analyse sur le PC du suspect. Tu ramènes les "pièces à conviction" dans ton laboratoire numérique pour les examiner avec des outils comme Autopsy ou ChromeCacheView.
Last updated