Présentation d'UsnJrnl, le journal des changements NTFS

Magazine
Marque
MISC
Numéro
63
Mois de parution
septembre 2012
Domaines


Résumé
Contrairement à ses prédécesseurs comme FAT16 ou FAT32, NTFS est un système de fichiers moderne possédant de nombreuses fonctionnalités de sécurité et de résilience. Cet article se propose d'en décrire l'une d'entre elles : le journal des changements, apparu avec Windows 2000. L'activation par défaut de cette fonctionnalité depuis Windows Vista est passée relativement inaperçue dans le monde du forensics, mais il s'agit pourtant d'une petite révolution.

1. Introduction

1.1. Contexte

Une mission forensics a généralement pour objectif de décrire avec le plus de détails possible les événements liés à un incident de sécurité. Elle comporte plusieurs étapes, dont la copie du ou des supports, la récupération de fichiers effacés ou la recherche de mots-clés, mais la principale d'entre elles est sans aucun doute l'établissement et l'interprétation d'une chronologie des événements (timeline).

Sous Windows, des dates plus ou moins précises sont fournies par de nombreux composants du système :

- les dates des journaux d'événements ;

- les horodatages (timestamps) gérés par le système de fichiers (dates de création, de modification, etc.) ;

- la date de dernière modification de chaque clé de registre ;

- les dates issues de divers artefacts comme l'historique de navigation web ou de messagerie instantanée, les méta-données de documents bureautiques, etc.

L'ensemble de ces événements permet de créer ce qu'on appelle...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Sûreté mémoire : le temps des cerises

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

L’étude et la compréhension des buffer overflow datent de 1972, et leurs premiers usages documentés de 1988 [1]. Près de 50 ans plus tard, où en sommes-nous ? Il nous faut bien admettre que la situation est déprimante : Microsoft et Google reconnaissent chacun ([2], [3]) que près de 2/3 des attaques utilisent à un moment ou un autre une vulnérabilité mémoire. Le ver Morris, qui n’était au départ qu’une preuve de concept, avait quand même coûté la bagatelle de quelques millions de dollars à l’époque… Aujourd’hui, les coûts sont abyssaux : sur le plan financier bien sûr, mais aussi pour nos vies privées, voire nos vies tout court. Face à ce problème, de nombreuses approches sont possibles : analyse statique du code, instrumentation et vérification à l’exécution, langages « sûrs »… Je vous propose d’explorer dans cet article un vieux concept remis au goût du jour, les capabilities, et tout ce qu’elles pourraient nous permettre de faire.

Jenkins, Docker et Kubernetes pour déployer en CI/CD

Magazine
Marque
Linux Pratique
Numéro
123
Mois de parution
janvier 2021
Domaines
Résumé

La mise en place d'un processus d'intégration continue et de déploiement continu nécessite une réflexion sérieuse avant de la concrétiser dans la vraie vie d'une organisation. La diversité des méthodes agiles, la panoplie des outils DevOps disponible sur le marché et le choix de l'infrastructure sous-jacente pour créer vos projets nécessitent de prendre du recul avant de se lancer. Découvrez dans cet article comment créer un CI/CD.

Les taxonomies se cachent pour ne pas mourir

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

« Attention, nouveau virus ! » Nombreux sont les articles à nous alerter régulièrement, par cette métonymie, sur l’émergence d’un nouveau malware. Pourtant, le terme de virus a-t-il encore un sens aujourd’hui ? Wannacry était-il un ver, ou un ransomware ? NotPetya, un wiper, ou bien un ver ? Et plus encore, au-delà de l’utilisation de termes et expressions se pose la question de la nécessaire catégorisation des incidents de cybersécurité ; pourquoi, comment, à quelles fins ? Essai (critique) de réponse.

Attaques en environnement Docker : compromission et évasion

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

Ces dernières années, on a pu observer une évolution croissante des environnements conteneurisés et notamment de l’usage de Docker. Les arguments mis en avant lors de son utilisation sont multiples : scalabilité, flexibilité, adaptabilité, gestion des ressources... En tant que consultants sécurité, nous sommes donc de plus en plus confrontés à cet outil. Au travers de cet article, nous souhaitons partager notre expérience et démystifier ce que nous entendons bien trop régulièrement chez les DevOps, à savoir que Docker est sécurisé par défaut.