Forensic : recherche « à froid » de malware sur support numérique

Magazine
Marque
MISC
Numéro
57
Mois de parution
septembre 2011
Domaines


Résumé

Le présent article a pour but de fournir des clés et bonnes pratiques pour mener à bien une recherche de malware dans le cadre d’une investigation inforensique « à froid ».


Nous distinguons deux notions :

- Analyse à chaud : il s’agit de l’analyse d’un système d’exploitation alors qu’il fonctionne.

- Analyse à froid : il est question ici de l’analyse de disques durs ou d’images physiques les représentant (système d’exploitation et données).

Les recherches de traces numériques « à froid » permettent de ne pas altérer le support à analyser, et éventuellement de stocker plusieurs images de disque sur un support de grande capacité.

Nous partons de l’hypothèse suivante : une machine est soupçonnée d’être ou d’avoir été infectée par un malware qui a eu une action spécifique sur le système.Cette dernière peut se présenter sous différentes formes :

- vol de données/fuite d’information (cheval de Troie dérobant des numéros de carte bancaire ou des identifiants/mots de passe d’accès à des comptes bancaires, par exemple) ;

- action malveillante (exemple : malware ayant envoyé du...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Introduction au dossier : Les fondamentaux de l'analyse forensique

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

La sécurité informatique est morte : vive la cybersécurité !

Les pirates des années 90 ont laissé place aux cybercriminels et aux APT, les attaques contre la chaîne logistique numérique (Supply Chain Attack) font la Une des journaux grand public. Des rançongiciels paralysent des hôpitaux en pleine pandémie de la Covid-19, des cyberespions chinois, russes, iraniens ou nord-coréens – bizarrement rarement indiens, et pourtant… – pillent les laboratoires pharmaceutiques de leurs recettes de vaccin.

DFIR : hier, aujourd’hui et demain

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

La réponse aux incidents et son alter ego l’investigation numérique sont des activités plus que trentenaires qui restent ô combien d’actualité – rançongiciels par-ci, APT par-là. Au-delà des (r)évolutions des technologies et des usages – dont le Cloud – leurs fondations ont résisté au temps.

Collecte d'artefacts en environnement Windows avec DFIR-ORC

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Dès le début de la réponse à incident se pose la question de la collecte de preuves afin de mener à bien les investigations numériques. Rapidement, les problématiques techniques d'échelle, d'hétérogénéité du parc ou de confidentialité font leur apparition. DFIR-ORC tente d'adresser ces sujets en permettant la capture forensique à un instant T d'une machine Windows.

Antivirus, PowerShell et ORC pour le Live-Forensics

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Dans un parc informatique de plusieurs dizaines de milliers de postes, détecter, chercher et récupérer des artefacts à distance est un travail difficile. Les outils de live-forensics et EDR sont les solutions généralement retenues pour ces usages, néanmoins leur mise en œuvre peut s’avérer complexe sur des systèmes d’information modernes et des zones géographiques étendues. Cet article aborde les capacités de déploiement d’outils de live-forensics au travers des antivirus pour permettre la mise en œuvre des outils de référence, comme DFIR-ORC, lorsque c’est nécessaire.