Sécurité
Guide d'investigation informatique de base
Tom Cloward and Frank Simorjay
Vue d'ensemble:
- Guide d'investigation informatique de base pour Windows
- Starter Kit de désinstallation de logiciels malveillants
- Création d'un kit d'investigation avec Windows PE
- Conservation d'informations pour l'analyse forensique
Les méthodes auxquelles peuvent avoir recours les utilisateurs malveillants pour détourner un ordinateur afin d'exécuter des activités illégales telles que le piratage de systèmes, la divulgation de secrets commerciaux, le déclenchement d'attaques avec de nouveaux virus, l'utilisation du hameçonnage pour voler des informations personnelles, etc. sont innombrables. Nous entendons par ailleurs constamment parler de nouveaux programmes malveillants exploitant les failles de sécurité
et de nouvelles techniques. Ce dont nous n'entendons pas souvent parler, ce sont les diverses façons dont les ordinateurs peuvent être utilisés dans le cadre des investigations liées à ces activités.
Certaines investigations s'appuient sur des experts utilisant des outils coûteux et des techniques complexes, mais il existe des méthodes moins chères et plus simples que vous pouvez utiliser dans les investigations et les analyses de base. Dans cet article, nous nous concentrerons sur les techniques inforensiques auxquelles vous pouvez facilement accéder en tant qu'administrateur.
Notre discussion s'appuie sur deux accélérateurs de solution que vous pouvez télécharger gratuitement : Le « Guide d'investigation informatique de base pour Windows » (go.microsoft.com/fwlink/?LinkId=80344) et Le Starter Kit de désinstallation de logiciels malveillants (go.microsoft.com/fwlink/?LinkId=93103). Dans cet article, nous vous montrerons comment combiner ces deux solutions pour créer un environnement de démarrage Windows® PE qui vous permettra de mener une investigation efficace et d'en conserver les résultats pour la création de rapports et l'analyse. Notez que vous ne pouvez pas utiliser la méthode abordée dans cet article pour examiner un disque dur qui a été chiffré ou qui fait partie d'un volume RAID. Et si le disque dur est endommagé, vous devrez prendre d'autres mesures préalables pour restaurer son état.
Bien que notre solution décrive un moyen aisé de recueillir des preuves à partir d'un ordinateur Windows, elle n'en demeure pas moins une solution de base ad hoc. Il existe de nombreuses solutions, plus sophistiquées et disponibles sur le marché, qui peuvent accomplir les tâches décrites dans cet article d'une façon beaucoup plus efficace.
En outre, n'oubliez pas que la technique que nous abordons ici n'est pas une solution normative garantie et n'est pas certifiée par l'ISFCE (International Society of Forensic Computer Examiners). Avant de commencer une investigation, vous devez considérer si les preuves existant sur le disque dur pourraient être utilisées dans le cadre d'un procès. Si cette éventualité existe, un examinateur informatique professionnellement certifié doit être engagé pour mener l'investigation. Selon la nature de l'action en justice, vous devez également envisager de confier directement l'investigation aux services chargés de l'application de la loi. Vous trouverez plus d'informations à ce sujet dans « Le Guide d'investigation informatique de base pour Windows ».
À propos des accélérateurs de solution
Le « Guide d'investigation informatique de base pour Windows » aborde les divers processus et outils que vous pouvez utiliser dans une investigation informatique interne. Ce guide décrit les quatre phases du modèle d'investigation informatique : évaluation, acquisition, analyse et rapport. Il s'agit d'un modèle pratique qui peut aider les professionnels de l'informatique à mener des investigations d'une façon qui conserve les résultats importants.
Ce guide vous indique également quand il est nécessaire d'impliquer les services chargés de l'application de la loi ; vous devez consultez vos conseillers juridiques lorsque vous prenez cette décision. Vous trouverez des informations sur la gestion des crimes informatiques, la façon de contacter les services chargés de l'application de la loi et les outils Windows Sysinternals et autres outils Windows qui vous aideront à mener des investigations.
L'autre accélérateur de solution auquel nous faisons référence dans cet article, le Starter Kit de désinstallation de logiciels malveillants, fournit des conseils sur la façon de créer et d'utiliser un CD-ROM de démarrage Windows PE pour supprimer les logiciels malveillants d'un ordinateur. Ce guide inclut une liste de menaces et certaines atténuations qui peuvent vous aider à minimiser leur impact sur une organisation. Il souligne en outre l'importance de l'élaboration d'un plan de réponse aux incidents pouvant être suivi en cas d'attaque de programmes malveillants. Le Starter Kit de désinstallation de logiciels malveillants inclut également une méthode en quatre étapes visant à aider les professionnels de l'informatique à déterminer la nature des logiciels malveillants en question, limiter leur propagation, les supprimer si possible, vérifier ces suppressions et prendre toute autre mesure pouvant s'avérer nécessaire.
CD-ROM Windows PE
Deux éléments sont nécessaires pour exécuter une investigation de ce genre : un CD-ROM Windows PE et un périphérique de stockage externe (par exemple un lecteur Flash USB).
Vous avez probablement vu suffisamment de films à la télévision pour savoir que la police doit toujours laisser la scène du crime intacte. Vous devez, vous aussi, conserver les données telles qu'elles sont sur le disque dur que vous examinez. Contrairement au disque du Starter Kit de désinstallation de logiciels malveillants, le disque de démarrage Windows PE que nous sommes en train de créer exécutera les outils en ne touchant pas du tout aux données du disque dur.
Le disque de Windows PE lancera le système dans un environnement Windows limité. Lorsque vous créez ce CD de démarrage, vous pouvez inclure des outils (tels que ceux du Starter Kit de désinstallation de logiciels malveillants) qui sont configurés à l'avance pour un objectif spécial. Notez que l'ordinateur doit disposer d'au moins 512 Mo de mémoire vive. Cette configuration est requise par Windows PE.
Le processus de création du CD-ROM Windows PE, détaillé dans le Starter Kit de désinstallation de logiciels malveillants, est assez simple. Avant de créer ce disque de démarrage, vous devez installer le Kit d’installation automatisée (Windows AIK), installer la Suite Sysinternals (disponible à l'adresse microsoft.com/technet/sysinternals/utilities/sysinternalssuite.mspx), placer les outils Sysinternals dans votre liste d'outils comme indiqué dans la Tâche 2 du Starter Kit de désinstallation de logiciels malveillants et installer les éventuels autres outils et utilitaires d'analyse anti-programme malveillant. Pour obtenir des instructions détaillées sur la création du disque, suivez les étapes décrites dans le document Starter Kit de désinstallation de logiciels malveillants.
Lecteur USB externe
Dans la mesure où ce processus ne modifiera pas le lecteur faisant l'objet d'une investigation, vous aurez également besoin d'un lecteur USB de poche ou autre type de disque dur externe afin d'y enregistrer les fichiers de sortie qui seront créés. (Le lecteur USB de poche est recommandé car Windows PE peut monter les périphériques USB automatiquement). Vous pouvez également utiliser un disque dur externe pour enregistrer une image du disque dur original. Vu toutes ces conditions et options, vous devez absolument prévoir l'espace disque total nécessaire pour l'investigation.
Comme le kit doit être propre lorsque vous démarrez une investigation, vous devez supprimer toutes les données précédentes du lecteur de disque externe que vous utiliserez pour enregistrer les fichiers de l'investigation. Cette opération peut être facilement effectuée avec un utilitaire de nettoyage de disque qui écrase toute la surface inscriptible du disque. Le disque externe peut être ensuite formaté et étiqueté comme nécessaire pour être utilisé au cours de l'investigation. Vous vous assurez ainsi que le périphérique ne contient pas de fichiers qui pourraient contaminer les preuves que vous réunissez durant l'investigation.
Vous devez également inclure un formulaire de chaîne de conservation afin que toutes les personnes ayant manipulé au cours de l'investigation soient officiellement documentées. Le « Guide d'investigation informatique de base pour Windows » comporte un exemple de formulaire de chaîne de conservation. Après avoir terminé d'empaqueter le kit (avec le disque de démarrage Windows PE, le périphérique de stockage externe et un formulaire de chaîne de conservation) vous êtes prêt à commencer.
L'investigation
Vous êtes maintenant prêt à mener une investigation. Tout d'abord, lancez le système impliqué en utilisant le disque Windows PE, en veillant à ce que la commande de démarrage de l'ordinateur identifie le lecteur de CD-ROM comme périphérique de démarrage principal. À l'invite, appuyez sur n'importe quelle touche pour compléter le démarrage du CD-ROM. Vous accédez ainsi aux outils que vous avez installés sur le disque.
Nous utiliserons notre kit sur une machine d'exemple pour démontrer comment vous pouvez recueillir des informations à partir d'un ordinateur (que nous appellerons Testbox1). Le nom du lecteur CD sur Testbox1 est X:\ et l'emplacement par défaut proposé pour les outils du Starter Kit de désinstallation de logiciels malveillants est X:\tools. Pour accéder aux outils du kit, il nous suffit de taper : cd \tools.
Il existe plusieurs outils qui peuvent identifier les lecteurs cibles installés sur un ordinateur. Bginfo.exe, qui se trouve dans le répertoire d'outils Sysinternals, peut fournir ces informations et les placer dans une fenêtre d'arrière-plan, sur le Bureau. Drive Manager peut également identifier tous les lecteurs de l'ordinateur, y compris les lecteurs de disque dur cibles et le périphérique USB externe. La figure 1 affiche les informations sur les disques pour Testbox1. Le lecteur de démarrage est X:\, le disque dur cible est C:\ et notre lecteur USB externe F:\.
Figure 1** Accès aux informations sur disque avec Drive Manager **
Vérification de la présence de logiciels malveillants
Il est important d'exécuter des outils anti-programme malveillant avant de commencer une investigation afin de s'assurer que cette dernière n'est pas compromise par un virus ou tout autre code malveillant. Le rapport dressé par l'outil anti-programme malveillant peut être utilisé comme preuve, le cas échéant. Toutefois, si vous ne vérifiez pas la présence de logiciels malveillants sur un ordinateur, vous risquez de compromettre l'investigation et la crédibilité de la personne menant l'investigation. Nous vous conseillons d'exécuter les outils anti-programme malveillant fournis en mode lecture seule ou rapport.
Le Starter Kit de désinstallation de logiciels malveillants examine plusieurs outils recommandés, dont l'Outil de suppression des logiciels malveillants et McAfee AVERT Stinger. Lorsque vous exécutez l'Outil de suppression des logiciels malveillants, n'oubliez pas d'inclure l'option de ligne de commande /N pour demander à l'outil de dresser uniquement un rapport sur les logiciels malveillants et pas d'essayer de les supprimer :
x:\tools\windows-KB890830-v1.29.exe /N
Le fichier de rapport résultant sera placé dans %windir%\debug\mrt.log.
De même, lorsque vous exécutez McAfee AVERT Stinger, réglez la préférence sur Rapport only, comme illustré à la figure 2 ; il analysera ainsi l'ordinateur mais n'effectuera aucune modification sur le disque dur. Et n'oubliez pas d'enregistrer un rapport de l'outil une fois l'analyse terminée.
Figure 2** Utilisez le mode Rapport only dans McAfee AVERT Stinger **
Enregistrement des fichiers critiques
Si vous n'avez pas sauvegardé le disque entier avant d'avoir commencé l'investigation, vous devriez au moins sauvegarder les fichiers utilisateur clés. Les informations de configuration peuvent être utilisées pour une consultation future, le cas échéant. Commencez par réunir les fichiers et paramètres de Registre qui contiennent toutes les informations pertinentes à l'utilisation de l'ordinateur et aux logiciels installés sur le système.
Pour enregistrer la ruche du Registre pour Testbox1, nous créons d'abord un dossier sur le lecteur amovible F:\ et enregistrons ensuite la date et l'heure de début de l'investigation à l'aide des commandes suivantes :
f:
Mkdir f:\evidence_files
Date /t >> f:\evidence_files\Evidence_start.txt
Time /t >> f:\evidence_files\Evidence_start.txt
Ensuite, nous enregistrons la ruche du Registre en utilisant la commande xcopy pour copier la totalité du répertoire de configuration et son contenu. Les fichiers de Registre qui vous intéressent se trouvent dans %windows%\system32\config. Dans notre cas, nous exécutons :
xcopy c:\windows\system32\config\*.* f:\registrybkup /s /e /k /v
Cette commande copie toutes les informations de configuration situées dans le dossier config. Textbox1 contient environ 95 Mo d'informations situées dans le dossier config.
Ensuite, concentrez-vous sur les données utilisateur qui peuvent se trouver n'importe où sur le disque dur. Dans le cadre de notre exemple, nous copions uniquement les données d'un répertoire appelé c:\HR. Pour nous assurer que les données sont toutes réunies, nous copions toutes les données du répertoire et de son sous-répertoire en utilisant la commande xcopy suivante :
Mkdir f:\evidence_files\HR_Evidence
Mkdir f:\evidence_files\documents_and_settings
Mkdir f:\evidence_files\users
xcopy c:\HR\*.* f:\evidence_files\HR_Evidence /s /e /k /v
À présent, vous pouvez porter votre attention sur les informations des dossiers personnels. Là encore, nous voulons copier toutes les données de ces répertoires et leurs sous-répertoires. Pour ce faire, nous utilisons les commandes suivantes :
Xcopy c:\documents and settings\*.* f:\evidence_files\documents_and_settings /s /e /k /v
Xcopy c:\users\*.* f:\evidence_files\users /s /e /k /v
Cet échantillon a recueilli environ 500 Mo de données, que nous pouvons maintenant analyser, le cas échéant. Comme vous le voyez, la quantité de données que vous recueillez peut être énorme, surtout si vous tombez sur des fichiers audio ou vidéo ou sur des photos. Quoi qu'il en soit, il est important de conserver autant de données originales que possible parce qu'une investigation peut nécessiter non seulement les preuves que vous recueillez physiquement, mais aussi l'assurance que ces informations n'ont pas été modifiées au moment où vous les recueillez. Dans l'idéal, vous devez créer une image du disque complète pour votre investigation, mais cette opération peut être difficile en raison de contraintes de taille. Vous comprenez maintenant pourquoi il est important de prévoir à l'avance l'espace de stockage nécessaire pour votre investigation.
Recueil d'informations supplémentaires
Les fichiers système peuvent être également très utiles pour la collecte de preuves, mais pour réunir de telles données, vous devrez peut-être procéder à une exploration de l'ordinateur cible puisque ces fichiers ne sont pas toujours au même endroit. Certains types de fichiers valent la peine d'être analysés car ils peuvent vous fournir des indices très utiles. Les fichiers d'échange, par exemple, contiennent des informations sur les fichiers qui ont été consultés par le biais de la mémoire. En outre, les fichiers d'échange peuvent même vous donner des détails sur les activités d'utilisation. De même, les données et cookies du navigateur Web fournissent des informations sur les comportements et les modèles de navigation.
Vous devrez peut-être faire des recherches pour trouver ces données, surtout si un utilisateur a modifié sa configuration et enregistré des données en dehors des emplacements par défaut. Il existe plusieurs outils Sysinternals qui peuvent vous aider à trouver les fichiers critiques. La figure 3 illustre cinq applications utiles et décrit comment elles peuvent vous aider dans votre investigation.
Figure 3 Outils permettant de trouver les fichiers et données critiques
| Application | Description |
| AccessChk | Affiche l'accès aux fichiers, les clés de Registre et les services Windows de l'utilisateur ou du groupe que vous spécifiez. |
| AccessEnum | Affiche les utilisateurs ayant accès à tels annuaires, fichiers et clés de Registre sur un ordinateur. Vous pouvez l'utiliser pour trouver des endroits où les autorisations n'ont pas été appliquées convenablement. |
| Du | Affiche l'utilisation du disque par répertoire. |
| PsInfo | Affiche les informations sur un ordinateur. |
| Strings | Recherche les chaînes ANSI et UNICODE dans les images binaires. |
Tom Cloward, CCE, CISSP, est responsable de programme chez Microsoft et est chargé de fournir des accélérateurs de solution de sécurité et conformité aux professionnels de l'informatique. Il travaille dans le secteur des logiciels et de l'informatique depuis plus de 15 ans et est passionné de sécurité informatique, d'analyse forensique et de conformité. Frank Simorjay, CISSP, CET, est responsable de programme technique chez Microsoft et expert en matière de sécurité pour le groupe Microsoft Solutions for Security and Compliance (MSSC). Il crée des solutions de sécurité pour les clients de Microsoft. Il est notamment l'autre du Starter Kit de désinstallation de logiciels malveillants, disponible sur Microsoft TechNet.
Frank Simorjay, CISSP, CET, est responsable de programme technique chez Microsoft et expert en matière de sécurité pour le groupe Microsoft Solutions for Security and Compliance (MSSC). Il crée des solutions de sécurité pour les clients de Microsoft. Il est notamment l'autre du Starter Kit de désinstallation de logiciels malveillants, disponible sur Microsoft TechNet.
© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.