Você está na página 1de 6

FOCUS

Analyse aprs
KONRAD ZUWAA

l'attaque
Aprs avoir dcouvert une activit indsirable sur l'ordinateur,
Degr de difficult
notre objectif consiste le plus souvent dtecter les traces d'une
activit d'un utilisateur non autoris et apprendre que s'est
rellement pass sur notre ordinateur. C'est le but de l'analyse
aprs l'attaque.

L
'analyse aprs l'attaque a beaucoup de videmment, nous pouvons nous demander
points en communs avec une analyse qui, quand et comment est entr dans notre
dtectiviste. Il faut dterminer l'heure, systme d'exploitation et ce qu'il y a fait. Mais
l'endroit, lier de nombreux faits entre eux. Pour pour rpondre ces questions, il faut recueillir
obtenir des informations, nous sommes souvent de nombreuses donnes, sans trouver sur la
obligs de parcourir des endroits les plus route aucune preuve claire et concrte. Nous
tranges du systme, mme le plus sombres. aurons tout au plus des fragments d'informations
Les informations obtenues seront maintes que nous devons lier entre elles et en tirer des
fois partielles, imprcises, nous devrons faire conclusions.
beaucoup d'effort pour les lier entre elles Quelles informations sont stockes dans
et trouver des relations. C'est en quoi consiste notre systme ? Dans la plupart de cas, il
une analyse aprs l'attaque : utiliser les s'agit des dchets : des fichiers qui ne sont
informations que nous avons russi trouver pratiquement jamais utiliss. Seule une partie
dans un systme compromis. minime des ensembles sur les serveurs UNIX est
Afin de commencer l'analyse, il faut dans ouverte de manire systmatique (ouverte et lue).
un premier temps nous prparer la question La plupart d'entre eux ne sont pas ncessaires
CET ARTICLE du point de vue thorique. Il est galement pendant longtemps, par exemple les fichiers
EXPLIQUE...
recommand de prparer le systme de configuration ne sont lus qu'au moment
Qu'est-ce qu'une analyse
d'exploitation cet objectif d'une manire du dmarrage du programme et ensuite, ils
aprs l'attaque,
comment la faire, approprie, ncessaires pour les oprations de restent sur le disque en attendant un prochain
comment fonctionne
un systme de fichiers,
ce type. Je suppose que l'utilisateur se sert d'un dmarrage de l'ordinateur ou redmarrage, pour
quoi ressemble une systme bas sur un systme UNIX (FreeBSD, que leur contenu soit lu. Comme nous le savons,
analyse d'un programme
suspect.
OpenBSD, Linux, etc.), une partie des informations certains serveurs ne sont pas redmarrs
contenues dans l'article est toutefois universelle pendant des annes. Que faut-il en conclure ? Les
CE QU'IL FAUT et peut se rapporter au systme Windows. ordinateurs modernes sont capables de remplir
SAVOIR... Le point lmentaire d'une analyse aprs en quelques secondes les disques durs les plus
connatre les notions l'attaque consiste ne pas chercher quelque grands. Les processus systme se rapportent
de l'administration d'un
systme UNIX, chose de particulier. Tous ceux qui cherchent toutefois toujours aux mmes donnes, en
connatre les notions une rponse concrte dans le systme ne utilisant les fichiers. Lorsque le systme lit donc
du langage C,
avoir des connaissances trouveront rien en ralit. En effet, quoi faut- tout le temps et enregistre sur les mmes fichiers,
gnrales sur les systmes il faire attention ? Il est difficile de dfinir au il efface en ralit ses traces. Ses traces lui
informatiques et leur
fonctionnement dbut les points concrets analyser. Bien et les traces d'un intrus potentiel : les indicateurs

20 HAKIN9 5/2009
de temps, les traces de toute Une autre chose dont il faut se cet utilisateur dans son shell, nous
modification indsirable dans les fichiers. rendre compte en effectuant une remarquerons qu'il avait saisi des
Pour cette raison, les informations telle analyse est l'illusion cre par le commandes appropries. Nous avons
exceptionnelles, qui n'ont rien voir avec systme d'exploitation autour de nous. obtenu une confirmation supplmentaire
les oprations ordinaires d'accs aux L'ensemble de systme de fichiers est en de l'information relative sa connexion.
donnes de fichiers ou d'ouverture de effet une illusion. Les fichiers constituent Si de plus, un systme IDS ou autre
dossiers non utiliss sont trs prcieuses en effet une suite de zro et de un, renifleur fonctionnant dans le rseau en
dans une analyse aprs l'attaque. une information lectromagntique question confirme qu'une telle connexion
Une autre question importante est enregistre sur un disque dur. Les a eu lieu depuis l'hte dont l'adresse
l'ordre de modification d'informations dossiers et les fichiers tout est IP est x.x.x.x , nous pouvons tre
(en anglais Order Of Volatility). Comme une illusion cre par le systme quasiment srs que l'information est
vous le savez, une partie d'informations d'exploitation, une sorte de facilit pour vraie. Nous ne sommes pas toutefois
est soumise un effacement plus rapide nous simplifier l'utilisation de l'ordinateur. toujours srs 100 % car un attaquent
et par consquent une suppression. Il ne faut pas l'oublier au moment expriment aurait pu prparer toutes
Les informations se perdent le plus de rcuprer les fichiers perdus ou les sources susmentionnes. Malgr
rapidement sur les supports lectriques d'analyser les fragments des ensembles tout cela, plus de sources confirment
(tels que les registres du processeur, sa trouvs quelque part sur le disque ; l'existence de l'information, plus nous
mmoire cache, la mmoire RAM) ou les nous pouvons le faire en omettant le pouvons y faire confiance.
rcepteurs rseau, tels que les cartes systme de fichiers, ce qui permettra Nous distinguons deux mthodes
rseau, qui contiennent leurs propres d'augmenter considrablement la de recueillir des informations : dans le
mmoires tampon ou les modules de quantit d'informations. livre Forensic Discovery de Dan Farmer
mmoires. Ces informations sont en Il faut aussi faire attention au niveau et Wierse Venem, elles s'appellent
gnral inaccessibles pour nous car de confiance que nous pouvons avoir l'archologie numrique et la gologie
la dure de leur vie oscille dans les par rapport une information donne. numrique. Il s'agit bien videmment
micro ou nanosecondes. Ensuite, nous Une seule information peut sembler d'une analogie ces domaines
avons des processus dont la dure de peu crdible mais si elle se rpte scientifiques et leur utilisation dans le
vie se situe entre plusieurs secondes dans de nombreux endroits diffrents, monde rel, non virtuel. L'archologie,
plusieurs heures (mais nous savons elle commence l'tre davantage. comme son nom l'indique, consiste
que les informations sur lesquelles ils Prenons cet exemple : nous avons analyser ce qui a t cr par homme.
reposent sont modifies sans cesse, trouv une entre sur la connexion d'un En le rapportant aux ordinateurs, nous
donc elles sont rapidement obsoltes). utilisateur dans le fichier contenant les en concluons qu'il faut analyser l'activit
Les disques durs, en fonction du type logs du serveur. C'est une information de l'utilisateur sur un ordinateur concret.
d'informations, peuvent les stocker entre individuelle, elle peut ne pas tre crdible. Il faut donc analyser les fichiers qu'il
plusieurs secondes jusqu' plusieurs Si nous regardons toutefois le fichier avait utiliss, les processus lancs, tout
mois, voire annes. Tout est question avec l'historique de commandes de ce qui avait t initi depuis le compte
d'utilisation des informations : les
fichiers temporaires crs par certains
Listing 1. Fonction lstat() et la structure y lie
programmes ne peuvent exister que
quelques secondes alors qu'une norme #include <sys/stat.h>

partie de donnes est stocke sur les


int lstat(const char* path, struct stat* buf);
disques sous la mme forme pendant
des mois. Les supports externes comme struct stat {

les disquettes, les mmoires de masse dev_t st_dev; /* ID de l'appareil contenant le fichier */
et les CD//DVD/BlueRay sont capables ino_t st_ino; /* numro inode */
de garder les donnes y enregistres node_t st_mode; /* protection */
nlink_t st_nlink; /* nombre de liens matriels */
pendant de longues annes.
uid_t st_uid; /* ID du propritaire du fichier */
Que pouvons-nous en conclure ? gid_t st_gid; /* ID du gr. du propritaire du fichier */
Dans un premier temps, il faut protger dev_t st_rdev; /* ID de l'appareil (si fichier spcial */
les donnes phmres que nous off_t st_size; /* taille complte en octets */
blksize_t st_blksize; /* taille du bloc du systme de fichiers */
pouvons perdre en un rien de temps.
blkcnt_t st_blocks; /* nombre de blocs allous */
Nous devons ainsi protger les time_t st_atime; /* heure du dernier accs (access) */
informations et leurs supports dans un time_t st_mtime; /* heure de la dernire modification (modification) */
ordre adquat : il faut commencer par les time_t st_ctime; /* heure de la dernire modification (time) */
};
donnes phmres et terminer par les
donnes qui ne sont pas menaces.

5/2009 HAKIN9 21
FOCUS
systme correspondant l'identifiant systme d'exploitation cette analyse. l'ordinateur, les processus et tout ce que
du suspect. La gologie en revanche Il est vident qu'il faut disposer d'un nous sommes incapables de copier
est un processus d'analyse de l'activit espace suffisant sur les disques durs physiquement sur un autre ordinateur.
du systme d'exploitation en tant que pour copier et ensuite monter les images The Coroner's Toolkit, et le projet
l'environnement parent de l'utilisateur, du systme de fichiers du systme qui devait le remplacer The Sleuth Kit,
qu'il forme en quelque sorte. Simplement compromis. Certains outils, permettant constitue l'ensemble d'outils ncessaires.
parlant, nous analysons tout ce que de raliser des oprations sur le systme TCT est un projet cr par les auteurs
l'utilisateur n'avait pas lancs et ce qui de fichiers de l'ordinateur compromis, du livre susmentionn, disponible
fonctionne dans le systme : l'accs aux seront galement indispensables : pour gratuitement sur Internet. Vous trouverez
fichiers de configuration, les oprations monter son image sur un autre ordinateur davantage d'informations sur ce sujet
sur les disques, les informations stockes ou sur un ordinateur qui fait objet de dans l'encadr Sur le Net. L'installation de
dans le systme de fichiers qui n'avaient nos recherches. Il ne faut pas oublier deux ensembles d'outils est plutt intuitive
pas t crs par l'utilisateur. que les informations sont phmres : et tout utilisateur intermdiaire du systme
Nous savons donc comment procder il faut dans un premier temps collecter UNIX sera capable de la faire. Procdons
l'analyse, il faut maintenant prparer le les informations dans la mmoire de l'analyse.

Le temps est l'argent


trouver des informations
sur le temps
Dans la plupart de cas, l'objectif de
l'analyse ne consiste pas voir ce
qui s'est pass. C'est plutt vident :
si quelqu'un a accd notre ordinateur,
il a pu faire quasiment tout dont il avait
envie. Nous ne pouvons rien y faire.
L'information sur la date et l'heure de
cet vnement est beaucoup plus
importante. Cette information nous
permettra de nous rendre compte
quelles donnes auraient pu fuir de notre
ordinateur ou pendant combien de temps
l'ordinateur a t expos l'intervention
de l'extrieur. En vrifiant l'heure, nous
apprendrons aussi tt ou tard quelle
tait la raison de la corruption du
systme et ce qui a pu tre fait dedans.
Rappelons que cet article n'expliquera
pas comment dtecter que le systme
a t compromis, c'est un sujet d'un autre
article. Notre article dcrit ce qu'il faut faire,
en disposant des informations relatives
l'attaque de l'intgralit de notre
systme d'exploitation.

Indicateurs MAC
MAC (en anglais Modified, Accessed,
Changed modifi, utilis, chang) sont
des attributs du systme de fichiers,
dterminant la dure de diffrentes
oprations d'accs au fichier. Regardons
le Listing 1. Il prsente le prototype de
la fonction lstat(). Sa tche consiste
recueillir les informations sur le fichier
et les enregistrer dans une structure
Figure 1. XXX spciale. Cette structure correspond aux

22 HAKIN9 5/2009
paramtres de l'ensemble, stocks dans de logiciel et de la spcification des filtres autre disque dur ou une autre partition.
le systme de fichiers. de recherches. Imaginons que l'analyse Nous ne nous rapportons en effet
La structure stat contient les des indicateurs MAC nous a permis de aucun symbole permettant de choisir
variables correspondant aux paramtres trouver un nouveau programme dans un disque donn.
du fichier. Nous nous concentrons sur le systme ; appelons ce programme Le rpertoire / constitue le niveau le
trois dernires positions : il s'agit des telnetd . Le programme prend la plus lev dans la hirarchie *niksa. C'est
indicateurs MAC. Cette structure nous place du serveur telnet en coutant un endroit suprieur pour tous les autres
aide crire un programme, charg bien videmment sur un autre port pour fichiers et rpertoires dans le systme ;
de parcourir le systme de fichies la masquer son existence. Grce au logiciel il est impossible de passer au rpertoire
recherche des modifications suspectes. qui analyse le trafic rseau, nous pouvons dessus (cela correspond au rpertoire X:
Il peut nous servir par exemple vrifier dtecter qu'un programme coute sur un dans le systme Windows o X signifie la
les fichiers systme ou les fichiers de port dtermin. Nous avons donc deux lettre du disque dur). Tout systme UNIX
configuration rcemment modifis. informations : un nouveau programme contient un ensemble standard de sous-
Comme nous l'avons mentionn dans le systme qui attend des rpertoires dans le rpertoire principal :
auparavant, ces fichiers sont ouverts connexions depuis Internet. Un hasard ? il s'agit notamment de /mnt/, /bin/, /usr/,
trs rarement. Si nous remarquons des Probablement pas... etc. Ils correspondent au rpertoire C:
modifications suspectes de temps, des L'exemple ci-dessus dmontre qu'il \WINDOWS, C:\PROGRAM FILES sous
modifications des fichiers systme ou des est recommand d'installer un logiciel Windows. Si vous tes attentifs, vous
fichiers de configuration, voire l'apparition dont l'objectif consiste surveiller le trafic remarquerez tout de suite la diffrence
de nouveaux programmes qui devaient rseau. Dans des situations comme celle dans la convention de sparation des
tre absents dans le systme c'est une dcrite ci-dessus, il peut nous tre d'un rpertoires : dans le systme Windows,
trace. Nous parlerons davantage des grand recours. Munissons donc l'avance nous utilisons le caractre \, tandis que
indicateurs MAC dans la partie de l'article de ce type de l'outil. dans les systmes Linux ou FreeBSD,
consacre aux systmes de fichiers il s'agit du caractre / (bien que dans les
UNIX. Nous y dcrirons en dtails qu'est Structure du systme nouveaux systmes Windows, le caractre
ce qu'un systme de fichiers et comment de fichiers de UNIX. / fonctionne galement).
l'utiliser nos fins, autrement dit, pour Utilisation pratique de ces Le systme de fichiers *niksa est
trouver les traces indispensables. connaissances sensible la casse donc les fichiers XYZ
Le systme de fichiers dans les UNIX et xyz sont des objets compltement
Systme qui connecte se diffre de manire considrable du diffrents. De plus, il ne faut pas oublier
le trafic rseau source systme dans les systmes d'exploitation que la notion d'extension du fichier est ici
d'informations Microsoft. La diffrence lmentaire se absente : elle est optionnelle et ne sert
De nombreux grands serveurs situe dans l'approche des fichiers et qu' nous faciliter le travail pour que nous
d'entreprise ou systmes dans de petites des rpertoires ; un utilisateur dbutant puissions nous rendre compte quoi
entreprises dont l'infrastructure rseau d'un UNIX entend srement souvent que nous avons affaire.
n'est pas trs dveloppe, sont quips tout est fichier dans le systme UNIX. Il nous reste encore analyser
des systmes de connexion du trafic C'est en partie vrai car la plupart (sinon plusieurs notions importantes que nous
rseau. Ces programmes, dont argus tous) d'appareils dans ce systme ont mettrons en pratique dans un instant.
est un exemple, permettent d'enregistrer leur reprsentation sous forme d'un La premire d'entre elles est un lien au
tous les vnements qui ont eu lieu sur le fichier spcial. Cette dmarche permet fichier, appel un noeud intermdiaire
rseau. Bien videmment, nous pouvons d'accder directement cet appareil, ce (en anglais inode). Il s'agit d'un chiffre
rencontrer un problme. Un serveur Web qui nous sera utile dans la suite de notre dfinissant le fichier donn, pointant
d'une taille moyenne est capable en analyse l'objet donn et permettant d'y accder.
effet de gnrer des dizaines (voire des La hirarchie du systme de fichiers Nous avons aussi deux types de liens :
centaines) de gigaoctets du trafic rseau. se diffre galement du systme liens symboliques et liens matriels.
L'analyse de toutes les donnes recueillies Windows. Le produit de Microsoft propose Le lien matriel indique directement
par ce logiciel pourrait poser un souci : des disques durs marqus par les les donnes enregistres sur le disque
qui voudrait lire toutes ces informations ? lettres de l'alphabet latin. Pour accder dur, il se rapporte tout simplement un
Grce aux programmes de connexion, une partition donne du disque, il faut espace donn occup par le fichier sur
il est par exemple possible de dtailler dans un premier temps choisir la lettre l'appareil. Il dfinit par exemple le bloc de
uniquement les connexions sur un port qui correspond au disque physique la mmoire du disque dur o se trouve le
donn ou depuis un hte dfini. Il est ou logique donn (donc par exemple fichier en question, son adresse physique.
galement possible de gnrer des logs une partition). Sous Linux, FreeBSD ou Le lien symbolique en revanche est une
d'aprs la date de l'vnement dans l autres systmes, nous ne ressentons structure qui indique le nom du fichier
rseau : c'est une question du bon choix aucunement le fait d'avoir accd un dans le systme et non directement

5/2009 HAKIN9 23
FOCUS
les donnes auxquelles ce fichier se nous voulons rcuprer des donnes l'image en question sur un autre
rapporte. C'est autrement dit un raccourci prcieuses, il est conseill de confier ordinateur soit d'utiliser le rseau pour le
courant au fichier. Imaginons que nous cette tche aux spcialistes qualifis qui faire (comme le prsente le Listing). Il faut
avons cr le fichier /Monfichier. Nous travaillent dans les entreprises, charges toutefois prendre en considration le fait
disposons donc d'un lien matriel pointant des travaux de ce type au quotidien. que le rseau peut ne pas tre scuris
aux donnes stockes par ce fichier. La dernire caractristique (importante et une partie d'informations peut alors
Grce la commande ln -s, nous de notre point de vue) du systme de tre intercepte par des personnes non
sommes capables de crer de nombreux fichiers d'un systme d'exploitation autorises. Dans une telle situation, il faut
liens symboliques qui seront de facto moderne tel que Linux, FreeBSD, Microsoft penser chiffrer le fichier transfr.
des raccourcis de ce fichier car ils se Windows, est un journaling, autrement L'tape suivante consistera monter
rapporteront son nom dans le systme dit, une journalisation. Comme son nom le systme de fichiers de la victime sur
de fichiers. Un seul lien matriel pointera l'indique, il s'agit d'une manire d'enregistrer notre ordinateur. Pour ce faire, nous
toutefois aux donnes dans ce fichier. des informations sur les vnements faisons la commande mount comme
Pourquoi avons-nous besoin de survenus dans le systme de fichiers : les si nous montions un autre disque. Le
tout cela ? C'est indispensable pour oprations d'enregistrement d'un fichier, sa commutateur -t servira dterminer
comprendre le concept de suppression lecture, bref, un journal de tout ce que le quel systme de fichiers est contenu
des fichiers par le systme d'exploitation. systme de fichiers a ralis en une dure dans l'image. Ajoutons galement les
Comme tout le monde en a srement dtermine. Il en est ainsi dans la plupart options ro, noexec, nodev (pour viter
entendu parler, il est possible de rcuprer de cas car il est galement possible de d'craser accidentellement l'image ou de
les donnes depuis un fichier supprim. configurer la journalisation de sorte qu'elle dmarrer les programmes). Maintenant,
Et la suppression d'un fichier par le enregistre en fonction de nos besoins nous sommes prts agir.
systme d'exploitation n'est rien d'autre le fichier deux fois, ce qui permettra de Dans un premier temps, nous
que la suppression des liens matriels rcuprer les donnes incorrectement vrifions les indicateurs MAC du systme
et symboliques au fichier en question, de enregistres. Tout cela est une question de fichiers mont. Pour ce faire, nous
sorte qu'il ne soit pas possible de le lire d'un certain compromis entre la disposons de la commande mctime
depuis le niveau du systme de fichiers. performance (donc l'opration de lecture/ du paquet d'outils TCT, que nous avions
De plus, le bloc du disque donn o s'est d'enregistrement) et la scurit et bien install auparavant sur le systme utilis
trouv le fichier, est marqu par le videmment, de l'espace disponible sur le pour effectuer l'analyse. Cette commande
systme d'exploitation pour tre cras. Au disque. Un double enregistrement occupe affichera quels fichiers taient utiliss et
moment opportun, le systme d'exploitation en effet deux fois plus d'espace qu'une en effet, comme nous l'avons voqu
enregistre ici d'autres donnes en opration standard d'enregistrement. au dbut, toute utilisation d'un fichier non
dtruisant ce qui y avait t stock Le mode le plus populaire est celui qui utilis d'habitude doit attirer notre attention.
auparavant. Cette possibilit dpend de n'enregistre pas le fichier en entier mais Imaginons que nous avons dcouvert un
l'activit de l'ordinateur en question : des seulement ses mtadonnes (les donnes fichier appel telnetd , comme c'tait le
oprations de lecture/d'enregistrement dont dispose le systme de fichiers sur cas dans l'exemple analys ci-dessus.
y sont souvent effectues, la probabilit le fichier, illustres l'aide de la structure Dans un premier temps, il faut s'assurer
de la suppression, qui rend impossible stat prsente sur le Listing 1). qu'il s'agit d'un vrai serveur telnet.
de rcuprer le fichier, augmente La manire la plus simple consiste
considrablement. Parcourir le systme gnrer la somme md5 pour ce fichier
Ce message est trs utile dans de fichiers et la comparer aux sommes md5
l'analyse aprs l'attaque. Nous pouvons La premire opration faire consiste disponibles pour les fichiers de chaque
essayer de lire le contenu du disque dur en crer une image du systme de fichiers. distribution des systmes, que vous
omettant le systme de fichiers en pensant Pour ce faire, nous disposons de la trouverez sur Internet. La commande
pouvoir lire des informations prcieuses. commande dd . Le Listing 2 prsente son est la suivante : md5sum telnetd .
De plus, nous pouvons essayer de fonctionnement. Nous comparons la somme la valeur
rcuprer les fichiers prcieux supprims La commande dd permet de crer approprie en provenance de la base de
par l'attaquant. Mais c'est un processus qui l'image du disque dur, appelons-la donnes correspondant au systme de
prend beaucoup de temps et d'effort et qui par exemple image.hda . Ensuite, il est la distribution en question. Si les sommes
se termine souvent par un chec. Lorsque possible soit de copier manuellement md5 sont diffrentes, il s'agit de deux
programmes diffrents. Il est galement
possible que le fichier telnetd soit en
Listing 2. Crer une image de la partition et la copier via le rseau
ralit un autre fichier du systme donn,
#!/bin/bash par exemple /bin/login , ce qui permet
dd if=/dev/hda1 bs=100k of=obraz.hda
nc -l -p 2345 > obraz.hda l'intrus de se connecter au systme
distance. Il faut donc vrifier si l'une

24 HAKIN9 5/2009
des sommes md5 correspond au fichier programme analys. Elle comprend donc fichiers . Ensuite, l'aide du programme
analys. L'heure de la cration du fichier de telles oprations que le dbogage icat (inode cat) du paquet TCK, nous
donn est aussi importante. Elle nous du programme en temps rel, son suivi pouvons copier le contenu de ce nouvel
informe de la date probable o le systme l'aide de la fonction systme strace . dans le fichier sur le disque dur. Il est
a t compromis. Cette dmarche est toutefois lie avec un alors possible de parcourir le journal la
L'tape suivante consiste analyser risque de dtruire le systme sur lequel recherche de quelque chose d'intressant.
les logs des interfaces rseau. Cette nous travaillons. Les systmes virtuels Une chose intressante consiste
dmarche nous permet souvent de spciaux ont t donc crs des fins aussi rechercher directement dans
dterminer quels htes se sont connects d'une telle analyse. Ils essaient d'muler la mmoire des systmes UNIX. Bien
une date dtermine l'ordinateur sur le systme dtermin avec une plate- videmment, cette dmarche est utile
le port donn, par exemple sur le port o forme matrielle donne pour tromper seulement si nous avons rapidement
coute le programme telnetd . Grce au maximum le programme suspect. dcouvert l'attaque. Il est alors possible
l'adresse IP de cet hte, nous pouvons Il est possible d'intercepter les appels de vrifier ce qui se trouve actuellement
vrifier s'il est prsent quelque part dans des fonctions systme, des interruptions dans la mmoire et filtrer les rsultats
les logs. En gnral il se trouve une matrielles, l'accs aux interfaces rseau, la recherche des preuves. Pour ce
date infrieure, ce qui permet de voir quel bref, tout ce dont ce programme a besoin faire, nous pouvons utiliser un fichier-outil
programme tait l'origine du systme lorsqu'il est lanc dans un environnement spcial dans le rpertoire /dev il s'agit
compromis. Simplement parlant, quelle rel. de /dev/mem, donc la mmoire. l'aide
application contenait des failles permettant Connatre le fonctionnement du de la combinaison des commandes
l'attaquant de l'exploiter distance. programme suspect est un lment cat /dev/mem | grep quelqueCho
Lorsque nous connaissons l'origine important de l'analyse aprs l'attaque. Il seDintressant , nous parcourons la
du systme compromis et la date de permet de se rendre compte quoi le mmoire du point de vue du contenu des
l'vnement, nous pouvons passer une systme compromis a t utilis. Une donnes importantes pour nous. Le Listing
analyse plus dtaille du programme fois cette analyse effectue, nous devons 3 prsente comment lire le journal du
trouv. Ce n'est pas le sujet de notre disposer de l'information sur la date systme de fichiers, la manire de le faire
article, nous ne nous limiterons donc qu' de l'vnement. Nous pouvons mme est assez atypique. C'est pour cette raison
un bref aperu de possibilits disponibles. connatre la date de la dernire connexion nous avons parl de cette opration dans
L'analyse du programme suspect peut de l'intrus dans le systme compromis. cette partie de l'article.
tre divise en statique et dynamique. Cette information suffit pour crer un
L'analyse statique comprend tout ce rapport d'une telle analyse. Conclusion
que nous pouvons faire sans lancer le L'analyse aprs l'attaque est un outil
programme suspect. Nous pouvons faire la Recherche d'informations indispensable dans la situation o nous
commande strings pour afficher toutes les dans des endroits atypiques sommes victime d'une cyberattaque.
suites de caractres dans le programme, Le dernier point abord dans notre article Elle permet de dterminer la date de
vrifier les bibliothques avec lesquelles il est est une sorte de curiosit : recherche l'vnement et les oprations qui ont
li de manire dynamique. La dernire tape d'informations dans des endroits pu tre effectues dans le systme
la plus difficile consiste dsassembler atypiques. compromis : pourquoi l'attaquant s'en est
le code du programme pour observer Dans un premier temps, parlons du servi ?. Ces informations sont ncessaires
en dtails son fonctionnement. C'est une journal du systme de fichier. L'accs y si nous souhaitons nous protger contre
tche qui demande beaucoup de temps est possible uniquement en appelant le une nouvelle attaque de notre systme.
et d'effort. Les connaissances excellentes journal et son noeud intermdiaire, sans Nous esprons que les systmes que
de l'assembleur sont absolument les structures du systme de fichiers. Il faut vous administrez n'auront jamais besoin
indispensables. donc trouver, au moyen du programme d'tre soumis une telle analyse aprs
L'analyse dynamique comprend tune2fs pour le systme ext3, le l'attaque.
toutes les oprations que nous pouvons numro adquat du noeud intermdiaire
effectuer lors du fonctionnement du correspondant au journal du systme de
Sur le Net :
Listing 3. Lecture d'informations dans le journal du systme de fichiers http://www.porcupine.org/forensics/
forensic-discovery une excellente
# tune2fs -l /dev/hda1 | grep -i journal publication relative l'analyse aprs
filesystem features: has_journal filetype needs_recovery sparse_super l'attaque,
Journal UUID: <none> http://www.porcupine.org/forensics/
Journal inode: 8
tct.html The Coroner's Toolkit,
Journal device: 0x0000
http://fr.wikipedia.org/wiki/Ext3
# icat /dev/hda1 8 > ~/fsJournal
systme de fichiers ext3.

5/2009 HAKIN9 25