0.1 Analyse d`une machine Windows NT/2000/XP
Transcription
0.1 Analyse d`une machine Windows NT/2000/XP
0.1 Analyse d’une machine Windows NT/2000/XP 1. Débrancher le câble réseau sans arrêter la machine Cette opération est nécessaire pour arrêter le phénomène constaté (propagation de ver, backdoor, serveur warez...) et l’analyse des données volatiles (ports et fichiers ouverts, processus lancés...). Toutes les opérations suivantes se feront sans support réseau. 2. Analyser les données volatiles Il s’agit de données présentes en mémoire de la machine. l’opération consiste à: • Lister les ports ouverts Cette opération permet de détecter les services suspects fournis par la machine. Utiliser Fport. Lancer l’invité de commande et taper chemin vers fport _fport.exe > resultat_fport.txt. La commande netstat -ano peut aussi être utilisée, mais l’outil netstat ne fournit pas le chemin du processus associé au port, comme le fait fport. La liste des ports, leur numéro et les services associés est disponible sur www.portsdb.org/PortsDB/services. • Vérifier les processus actifs Utiliser Pslist de l’outil PsTools. Lancer l’invité de commande et taper chemin vers pstools_pstools_pslist.exe > resultat_pslist.txt. Le gestionnaire de tâches : Ctrl+Maj+Echap peut aussi être utilisé. • Vérifier les services actifs Cette opération permet de détecter la présence de services intrus, installés par le pirate et qui ont souvent des noms très proches des services courants windows. Utiliser PsService de l’outil PsTools pour avoir la liste et l’état (marche arrêt) des services fournis par la machine : psservice.exe > resultat_psservice.txt. Autre méthode : Clic droit sur "Poste de travail" ->Gérer->Services et applications->Services • Vérifier les utilisateurs loggués sur la machine Utiliser PsLoggedOn de l’outil PsTools pour lister les utilisateurs qui 1 se sont loggués sur la machine : psloggedon.exe > resultat_psloggedon.txt. Sous Windows NT utiliser l’outil NTLast. 3. Analyser les données non volatiles • Lister les fichiers cachés Utiliser HFind de l’outil The Forensic Toolkit. Lancer l’invité de commande et taper chemin vers ForensicToolkit_HFind.exe > resultat_hfind.txt. • Analyser les fichiers de log Windows possède trois types de logs : Security, Application, System. Visualiser ces log dans "panneau de configuration" -> Outils d’administartion -> Observateur d’événements. • Rechercher les rootkits Un rootkit est un programme permettant à un pirate de maintenir dans le temps un accès frauduleux à une machine. Utiliser l’outil RootkitRevealer . Rootkitrevealer se base sur le fait que la fonction principale d’un rootkit est de cacher des fichiers. Lors de son exécution, rootkitrevealer effectue deux analyses : • La première consiste à obtenir la liste de tous les fichiers du système en utilisant l’API Windows. • La seconde consiste à construire une nouvelle liste en lisant directement le contenu du disque dur. La comparaison de ces deux listes permet de revéler les fichiers cachés. Souvent, une partie de ces fichiers cachés sont des fichiers windows. Il est conseillé de désactiver l’antivirus et le pare-feu avant de lancer le "scan", pour réduire les fichiers légitimes du système. Il faut également faire attention aux fichiers que l’on va supprimer : En effet supprimer un fichier windows pourrait entraîner un disfonctionnement du système. La difficulté avec rootkitrevealer est l’interprétation des résultats. Pour cela, il faut consulter l’aide. 2