Un peu de technique

Bon, ce n’est pas parce que je croule sous les expertises que je ne peux pas écrire un petit billet en exploitant la puissance non utilisée du processeur de mon ordinateur d’investigation pendant une prise d’image de disque dur.

Justement, j’avais envie de partager une nouvelle manière d’effectuer une prise d’image « à travers » le réseau avec mes camarades experts judiciaires qui me font l’honneur de me lire sans pester devant leurs écrans.

Il ne s’agit pas de révolutionner la technologie, mais simplement d’écrire un petit billet aide-mémoire et pourquoi pas de rendre service aux OPJ informatiquophile.

Ingrédients.

Il vous faut:

– un ordinateur « A » dans lequel vous placerez le disque dur extrait du scellé

– un réseau représenté par un switch si possible d’1Gb/s

– un ordinateur que j’appellerai « Catherine » en l’honneur de Pierre Desproges qui nous a quitté trop tôt. Cet ordinateur vous servira pour l’analyse et doit être muni d’un espace disque disponible confortable.

– un cédérom avec la distribution DEFT Linux Computer Forensics live cd la bien nommée

– et enfin, un carnet papier pour vos notes et un stylo qui marche.

Hypothèse de travail: l’ordinateur « Catherine » est équipé du système d’exploitation Windows 7, que l’on appelle également Windows Vista Final Edition, ou Windows NT 6.1.

Mode opératoire.

Après avoir branché vos câbles réseaux, après avoir désactivé le boot sur disque dur de l’ordinateur « A », après avoir testé le boot sur cédérom DEFT de l’ordinateur « A », vous pouvez commencer vos opérations:

– notez la marque, le modèle et le numéro de série du disque dur extrait du scellé

– branchez le dans l’ordinateur « A » (ordinateur éteint)

– bootez l’ordinateur « A » sur le cédérom DEFT

– à l’invite sur « A », configurez le réseau,

par exemple avec la commande

A# ifconfig -a eth0 192.168.0.10

– vérifiez la communication avec l’ordinateur « Catherine »,

par exemple avec la commande

A# ping 192.168.0.20

– sur l’ordinateur « Catherine », créez un répertoire de partage « darkstream » destiné à recevoir le fichier « image.dd », par exemple, en faisant « clic droit » sur le dossier « darkstream », puis « partager avec » et choisissez un compte protégé par mot de passe, par exemple le compte « zythom ». Lui donner l’autorisation lecture/écriture.

– de retour sur l’ordinateur « A », vous allez créer un répertoire d’attachement:

A# mkdir /mnt/darkstream

– puis vous allez saisir la commande magique:

A# mount -t cifs //192.168.0.20/darkstream -a username=zythom /mnt/darkstream

et répondre à la demande du mot de passe du compte zythom.

– finalement, vous pouvez commencer la copie numérique à travers le réseau en utilisant la commande suivante:

A# dd_rescue /dev/sda /mnt/darkstream/image.dd

commande qui a le mérite d’accepter la présence de blocs défectueux sur le disque dur à numériser.

Vous pouvez alors aller vous coucher en croisant les doigts pour que le disque dur extrait du scellé ne choisisse pas ce moment pour rendre l’âme et vous obliger à lire en détail l’assurance en responsabilité civile que vous avez judicieusement pensé à prendre pour couvrir vos opérations d’expertise. Il n’est pas drôle d’expliquer au magistrat qui vous a désigné que vous avez manqué de chance dans son dossier Darkstream où il vous demandait de retrouver des « listings » Excel. Personnellement, je dispose un grand ventilateur de bureau dirigé vers le disque dur pour assurer son refroidissement (mais je croise les doigts quand même).

En fois la prise d’image numérique terminée, vous pouvez éteindre l’ordinateur « A » et en retirer le disque dur que vous replacerez dans le scellé d’origine.

Il vous reste alors à supprimer le partage du répertoire darkstream sur l’ordinateur « Catherine » (le partage hein, pas le répertoire) et à imposer l’attribut « lecture seule » sur le fichier « image.dd »

Et maintenant, commence l’analyse de ce fichier, avec des outils tels que « liveview » pour un démarrage du disque dans une machine virtuelle, ou « Sleuth kit et Autopsy« , ou le très onéreux EnCase® Forensic mais ça, c’est une autre histoire…

19 réflexions sur « Un peu de technique »

  1. Merci pour ce petit texte, cela me donne quelques idée. Je ne suis pas expert, mais il m'arrive de dépanner des amis après un crash sans savoir si le disque dur survivra encore longtemps après sa première crise cardiaque.

    Mais la remarque sur le ventilateur m'étonne. Ce ne sont pas les disques les plus frais qui marchent le mieux.

    Google a produit une étude en 2007 sur l'espérance de vie des disques dur suivant certains critères. Et question température, il est préférable de les laisser monter "normalement" en température : tout refroidissement excessif est préjudiciable.

    Toute l'étude peut être trouvé ici : https://research.google.com/pubs/pub32774.html

    Bonne Continuation.

  2. On peut aussi utiliser un copieur matériel du style ICS ou Tableau. Ca va plus vite, ça fait les hash tout seul comme un grand, et ça monopolise pas deux machines pour une bête copie.

  3. @Lurik: Intéressant, mais mon ventilateur me permet simplement de maintenir le disque dur et la machine "A" à une température correcte (il ne "refroidit" pas"), sachant que ma machine "A" a tendance à chauffer un peu trop…

    @Anonyme et @Boris Fersing: Je décrivais une autre façon de procéder basée sur netcat dans ce vieux billet de 2007 ou plus récemment ici. J'ai changé de méthode car tout simplement je n'arrivais jusqu'à récemment à installer cygwin sous Windows 7.

    @David Billard: Je reconnais bien là la suprématie des "riches" laboratoires sur un pauvre expert bien obligé de se débrouiller avec les moyens du bord 😉

  4. Ce qui est bizarre (et empêchant l'usage de netcat, sauf cygwin fonctionnel), c'est surtout d'avoir son PC d'analyse qui ne tourne pas sous linux alors que les outils utilisés sur le PC expertisés sont basés sur cet OS…

    En plus, ça oblige à avoir un partage samba sur un PC d'analyse connecté au net (vu qu'il sert à envoyer des billets).

  5. Ca me fait penser que Tableau Imager (Free) est sorti mi janvier. Je ne l'ai pas encore essayé. Il fonctionne d'ailleurs sous Windows 7.
    J'imagine aussi que vous utilisez systématiquement un bloqueur même si vous n'êtes pas dans un riche laboratoire 😉

  6. @Anonyme: Une grande partie de mes outils d'analyse sont sous Windows, mais pas tous, ce qui m'oblige à disposer d'un partage sur le réseau. Les deux PC ("A" et "Catherine") sont sur un réseau dédié isolé des autres réseaux de la maison. Je parle d'utiliser le CPU disponible, mais en réalité je blogue sur une troisième machine reliée à Internet (celle qui me sert pour toutes les opérations de bureautique). Je n'ai pas voulu alourdir le billet qui reste un simple mémo pour moi.

  7. Outre la copie sous windows, je m'étonne de ne trouver aucune mention de la fameuse "chain of custody".

    Par exemple, à Enclave Forensics ils utilisent md5 (pas terrible, mais bon) afin de prouver que la copie est identique à l'original (quand c'est possible): https://www.youtube.com/user/DHAtEnclaveForensics#p/u/2/6SEnVNUAe0s

    Pourriez-vous nous éclairer sur l'équivalent dans le droit français de la "chain of custody" et la façon dont vous la maintenez ?

  8. Est-ce qu'il n'est pas conseillé de changer le blocksize de ddrescue en le spécifiant à la taille du cache du disque afin de gagner en vitesse ?
    Je sais que le gain est non-négligeable lorsque je fais mes backups (locaux) avec dd.

  9. A savoir:
    VirtualBox, un très bon logiciel de virtualisation Libre est compatible en natif avec les images dd => rien d'autre à installer.
    Bon à savoir pour les pauvres experts judiciaires…
    😉

  10. le md5 n'est-il pas suffisant pour un dump de disque ? généralement je génère un sha1 et un md5 à la volée avec dcfldd. mais n'est-ce pas un peu du "luxe". il y a tout de meme peu de chance de collisions de md5 sur un disque dur dont on connait la taille, non ? il faudrait donc une image de meme taille et meme md5. l'avis de l'expert?

  11. Excellent, alors j'attends de vous lire avec impatience 🙂

    @shawn: tout à fait, d'ailleurs dans la vidéo que j'ai référencée Enclave suggère bs=512

  12. @Anonyme: Personnellement, j'utilise md5, mais j'ai déjà constaté plusieurs fois des différences entre le calcul effectué sur deux prises d'images successives du même disque. Après investigation, il s'est avéré à chaque fois que le disque concerné était en train de rendre l'âme, et qu'à chaque prise d'image, il y avait des blocs défectueux supplémentaires. Depuis, en plus du hash mad5, je note le nombre de blocs défectueux.

    Comme quoi… on n'est jamais assez prudent.

  13. Tien, une simple question, pourquoi DEFT et pas Helix ?

    Simple choix ? ou y à t-il une raison particulière ?

Les commentaires sont fermés.