Arborescence d’outils d’acquisition et d’analyse

Outil permettant de réaliser les arborescences : https://tree.nathanfriend.io/

IMAGING / CAPTURE D’IMAGE

Notes

Linux / ON / RAM : Pour l’acquisition de RAM Linux via LiME, il est nécessaire d’avoir précompiler l’outil sur le même noyau Linux (uname -a) que la cible pour ensuite utiliser l’outil LiME compilé depuis une clé USB pour ne pas trop interagir avec la cible. Voir : ‣.
Linux / OFF / DISQUE : Pour l’acquisition de données du disque sur Linux, si la machine est éteinte. On peut brancher une clé USB Live Boot CAINE (avec une fonctionnalité logiciel write-block) et booter sur la clé USB CAINE (Attention à bien vérifier que le système boot sur la clé et non la machine, si c’est le cas, vite éteindre la machine !). Une fois dans CAINE, on peut monter le disque cible sur notre clé puis en faire une image. Voir Livre : Gerard Johansen - Digital forensics and incident response _ incident response techniques and procedures to respond to modern cyber threats (2020).

PC cible (imaging)
├── OS : Linux
│   ├── ON (Live acquisition)
│   │   ├── Données volatiles (RAM)
│   │   │   ├── LiME (<https://github.com/504ensicsLabs/LiME>)
│   │   │   └── Microsoft AVML (<https://github.com/microsoft/avml>)
│   │   └── Données non-volatiles (Disques)
│   │       ├── dd (copie brute)
│   │       ├── dc3dd (version améliorée de dd pour forensics) 
│   │       └── (Guymager) (interface graphique pour l'acquisition) 
│   └── OFF (Dead acquisition)
│       ├── Données volatiles (RAM)
│       │   └── Pas d'acquisition possible (RAM inaccessible à l'état OFF)
│       └── Données non-volatiles (Disques) [Depuis Forensics workstation ou Live USB (Caine)]
│           ├── dd
│           ├── dc3dd
│           └── Guymager
└── OS : Windows
    ├── ON (Live acquisition)
    │   ├── Données volatiles (RAM)
    │   │   ├── FTK Imager
    │   │   ├── Belkasoft LIve RAM Capturer
    │   │   └── (DumpIt)
    │   └── Données non-volatiles (Disques)
    │       ├── FTK Imager
    │       ├── EnCase 
    │       └── X-Ways Forensics
    └── OFF (Dead acquisition)
        ├── Données volatiles (RAM)
        │   └── Pas d'acquisition possible (RAM inaccessible à l'état OFF)
        └── Données non-volatiles (Disques)
            ├── FTK Imager
            ├── EnCase 
            └── X-Ways Forensics

PC cible (imaging)
  OS : Linux
    ON (Live acquisition)
      Données volatiles (RAM)
        LiME (<https://github.com/504ensicsLabs/LiME>)
        Microsoft AVML (<https://github.com/microsoft/avml>)
      Données non-volatiles (Disques)
        dd (copie brute)
        dc3dd (version améliorée de dd pour forensics) 
        (Guymager) (interface graphique pour l'acquisition) 
    OFF (Dead acquisition)
      Données volatiles (RAM)
        Pas d'acquisition possible (RAM inaccessible à l'état OFF)
      Données non-volatiles (Disques) [Depuis Forensics workstation ou Live USB (Caine)]
        dd
        dc3dd
        Guymager
  OS : Windows
    ON (Live acquisition)
      Données volatiles (RAM)
        FTK Imager
        Belkasoft LIve RAM Capturer
        (DumpIt)
      Données non-volatiles (Disques)
        FTK Imager
        EnCase 
        X-Ways Forensics
    OFF (Dead acquisition)
      Données volatiles (RAM)
        Pas d'acquisition possible (RAM inaccessible à l'état OFF)
      Données non-volatiles (Disques)
        FTK Imager
        EnCase 
        X-Ways Forensics

ANALYZING / ANALYSE

PC cible (analyzing)
└── OS : Linux & Windows
    ├── Données volatiles (RAM)
    │   ├── Volatility (L'outil ultime)
    │   ├── Rekall (Alternative à Volatility)
    │   ├── Volatility Workbench (version graphique de Volatility)
    │   └── Redline (Analyse de la mémoire - très lent)
    └── Données non-volatiles (Disques)
        ├── Autopsy (Interface graphique pour The Sleuth Kit, analyse complète de fichiers)
        ├── The Sleuth Kit (TSK - Analyse approfondie du système de fichiers, récupération de fichiers supprimés)
        ├── EnCase (Outil commercial pour l'analyse approfondie et la gestion des preuves)
        ├── X-Ways Forensics (Outil commercial allemand, analyse disque, recherche de fichiers cachés, timeline, récupération de données)
        ├── FTK Imager (Image disque, visualisation et création de hash) 
        └── TestDisk/PhotoRec (Récupération de partitions et fichiers supprimés)

PC cible (analyzing)
  OS : Linux & Windows
    Données volatiles (RAM)
      Volatility (L'outil ultime)
      Rekall (Alternative à Volatility)
      Volatility Workbench (version graphique de Volatility)
      Redline (Analyse de la mémoire - très lent)
    Données non-volatiles (Disques)
      Autopsy (Interface graphique pour The Sleuth Kit, analyse complète de fichiers)
      The Sleuth Kit (TSK - Analyse approfondie du système de fichiers, récupération de fichiers supprimés)
      EnCase (Outil commercial pour l'analyse approfondie et la gestion des preuves)
      X-Ways Forensics (Outil commercial allemand, analyse disque, recherche de fichiers cachés, timeline, récupération de données)
      FTK Imager (Image disque, visualisation et création de hash) 
      TestDisk/PhotoRec (Récupération de partitions et fichiers supprimés)