0.1 Analyse d`une machine Windows NT/2000/XP

0.1
Analyse d’une machine Windows NT/2000/XP
1. Débrancher le câble réseau sans arrêter la machine
Cette opération est nécessaire pour arrêter le phénomène constaté (propagation de ver, backdoor, serveur warez...) et l’analyse des données volatiles
(ports et fichiers ouverts, processus lancés...).
Toutes les opérations suivantes se feront sans support réseau.
2. Analyser les données volatiles
Il s’agit de données présentes en mémoire de la machine. l’opération consiste
à:
• Lister les ports ouverts
Cette opération permet de détecter les services suspects fournis par la
machine.
Utiliser Fport.
Lancer l’invité de commande et taper chemin vers fport _fport.exe >
resultat_fport.txt.
La commande netstat -ano peut aussi être utilisée, mais l’outil netstat
ne fournit pas le chemin du processus associé au port, comme le fait
fport.
La liste des ports, leur numéro et les services associés est disponible sur
www.portsdb.org/PortsDB/services.
• Vérifier les processus actifs
Utiliser Pslist de l’outil PsTools.
Lancer l’invité de commande et taper chemin vers pstools_pstools_pslist.exe
> resultat_pslist.txt.
Le gestionnaire de tâches : Ctrl+Maj+Echap peut aussi être utilisé.
• Vérifier les services actifs
Cette opération permet de détecter la présence de services intrus, installés par le pirate et qui ont souvent des noms très proches des services
courants windows.
Utiliser PsService de l’outil PsTools pour avoir la liste et l’état (marche
arrêt) des services fournis par la machine : psservice.exe > resultat_psservice.txt.
Autre méthode : Clic droit sur "Poste de travail" ->Gérer->Services
et applications->Services
• Vérifier les utilisateurs loggués sur la machine
Utiliser PsLoggedOn de l’outil PsTools pour lister les utilisateurs qui
1
se sont loggués sur la machine : psloggedon.exe > resultat_psloggedon.txt.
Sous Windows NT utiliser l’outil NTLast.
3. Analyser les données non volatiles
• Lister les fichiers cachés
Utiliser HFind de l’outil The Forensic Toolkit.
Lancer l’invité de commande et taper chemin vers ForensicToolkit_HFind.exe
> resultat_hfind.txt.
• Analyser les fichiers de log
Windows possède trois types de logs : Security, Application, System.
Visualiser ces log dans "panneau de configuration" -> Outils d’administartion -> Observateur d’événements.
• Rechercher les rootkits
Un rootkit est un programme permettant à un pirate de maintenir dans
le temps un accès frauduleux à une machine.
Utiliser l’outil RootkitRevealer .
Rootkitrevealer se base sur le fait que la fonction principale d’un rootkit
est de cacher des fichiers.
Lors de son exécution, rootkitrevealer effectue deux analyses :
• La première consiste à obtenir la liste de tous les fichiers du système
en utilisant l’API Windows.
• La seconde consiste à construire une nouvelle liste en lisant directement le contenu du disque dur.
La comparaison de ces deux listes permet de revéler les fichiers cachés.
Souvent, une partie de ces fichiers cachés sont des fichiers windows. Il
est conseillé de désactiver l’antivirus et le pare-feu avant de lancer le
"scan", pour réduire les fichiers légitimes du système. Il faut également
faire attention aux fichiers que l’on va supprimer : En effet supprimer
un fichier windows pourrait entraîner un disfonctionnement du système.
La difficulté avec rootkitrevealer est l’interprétation des résultats. Pour
cela, il faut consulter l’aide.
2