Une masterclass ! Comme d habitude. Vraiment captivant ! Ça méritait un @CyberTalk à la mode BzHunt 😮 Et bravo à Noobosaurus pour sa certif 🎉🎉🎉 Bzh aussi et en reconversion, j espère pouvoir vous rencontrer un jour, je ferai mon possible pour me rendre à un évent où vous serez présents tous les 2. Depuis le temps que ça me démange 😅
@@HacktBack salut bien sympas comme sujet donc bravos à toi . mais moi je souhaite parler de choses très peu connu des débutants ainsi que de certaines personnes . sur le forensique . excuse moi pour la longueur du commentaire . mais fort intéressant niveau info . dissimulation de données . les disques durs objet d'analyse de prédilection lors d'une fouille post-mortem . le commentaire ici a pour but de faire découvrir au gens des techniques employées dans la vie de tous les jours pour rendre la vie de l'investigateur forensique plus difficile . 1) . les zones constructeurs HPA / DCO . la premiére étape lors d'une investigation numérique post-mortem à froid . est la duplication du / des disque (s) dur à analyser . cette étape vise à fournir à l'enquêteur une copie sur laquelle il pourra travailler . afin d'avoir une copie parfaite . il est évident qu'il ne faut pas modifier le média lors de la copie . mais également ne rien oublier lors de la duplication . en effet l'oubli d'une zone pourrait laisser passer des informations déterminantes lors de la phase d'enquête . parmi ces zones à ne pas oublier on en retrouve deux qui sont généralement utilisées par les constructeurs . ces zones sont appelés HPA . host protected area et DCO . ( device configuration overlay ) la hpa est souvent utilisée afin d'y stocker des outils de diagnostic et / ou de restauration système afin d'économiser les dépenses occasionnées par les dvd de restauration fourmis précédemment par les constructeurs . on la retrouve également parfois dans les systèmes anti-vol puisqu'elle résiste aux formatages . la dco est par contre utilisée afin de permettre aux constructeurs d'acheter différentes marques de disque dur et de choisir la taille sous laquelle apparaîtra le disque dur . par exemple un disque dur de 160 go apparaîtra sous la forme d'un disque dur de 120 go . afin de les faire paraître uniforme . une des caractéristiques de ces zones qui nous intéresse ici est qu'elle ne sont pas normalement visibles . depuis un système d'exploitation ou le bios ce qui rend leur manipulation / détection non aisée par les utilisateurs . ces deux zones sont toutefois modifiables via l'utilisation d'outils spécialisés . ce qui permet à des individus ayant connaissance de leur existence de pouvoir y cacher des informations . cette dissimulation peut même fonctionner vis-à-vis de certains outils servant lors d'une analyse forensique puisqu'il arrive que ceux ci ne prennent pas en charge ces zones . la gestion de ces zones s'effectue par l'intermédiaire de registre gérés par le contrôleur de disque . ces registres stockent différents types de valeurs qui sont consultables et modifiables par l'intermédiaire de commandes ata . comme identify device qui récupére le numéro du dernier secteur accessible pour l'utilisateur sur le disque . prenons tout d'abord le cas d'un disque dur d'une capacité de 120 go n'ayant aucune zone protégée . dans ce cas ci l'ensemble du disque dur est accessible ainsi le nombre total de secteurs accessibles par l'utilisateur correspond au nombre total de secteurs composants le disque dur . prenons maintenant le cas où un uitilisateur souhaite créer une zone hpa . afin de pouvoir y dissimuler des données . pour ce faire il va devoir passer par l'intermédiaire de la commande ata . set max address qui va lui permettre de définir le numéro du dernier secteur accessible à l'utilisateur . autrement dit il va redéfinir la taille de la zone accessible à l'utilisateur . admettons qu'il souhaite se réserver 10 go il va placer les 11O premiers go comme étant lisibles ainsi la zone s'étendant des 11O aux 120 go sera considérée comme une zone protégée puisque non accessible . le seule moyen de détecter la présence d'une hpa est de faire appel à la commande ata read native max address . qui retourne le numéro du dernier secteur auquel une commande ata peut accéder . ainsi si la valeur retournée est différente de celle retournée par identify device c'est qu'il existe une zone hpa . afin de pouvoir manipuler cette zone il faut remplacer la valeur retournée par identify device par celle retournée par read native max address grâce à la commande set max address . ainsi la zone fait à nouveau partie des secteurs manipulables par l'utilisateur nous pouvons donc y stocker nos données puis redéfinir la hpa comme précédemment avec la commande set max address. dans le cadre d'une analyse forensique nous pouvons utiliser l'outil disk- stat provenant de sleuthkit qui permet de détecter la présence ou non d'une hpa . en utilisant la comparaison des résultats de read native max address et identify device . dans le cas où une hpa est détectée nous devons la copier afin de l'analyser . pour ce faire l'utilisation de l'outil disk -sreset provenant également du sleuthkit nous sera d'une grande utilité puisque cet outil rend la hpa accessible . en modifiant la valeur de identify device . pour qu'elle soit égale à read native max address. ils est également important de noter que cette opération peut être temporaire . ou survive au reboot en fonction de la valeur d'un flag lors de l'appel à la commande set max address. ce qui peut permettre la suppression de la hpa juste le temps de l'acquisition . la device configuration overlay la DCO sert à réduire la taille d'un disque dur . pour ce faire il faut passer par la commande ATA. device configuration set . dans le cas où il n'y a pas déjà une hpa . sur le disque . en effet dans le cas contraire l'exécution de la commande résultera en une erreur . dans le cas où l'on veut faire cohabiter une hpa et une dco sur un même disque . il faudra d'abord créer la dco et ensuite la hpa . a noter qu'ici nous ne retrouvons pas de bit permettant de choisir si le changement est temporaire ou non . les manipulation concermant la DCO surviront toujours au rédémarrage . voilà pour cette info . et encore des excuse pour la longueur sur ceux très bonne soirée à toi .
Bonjour les gars! Une masterclass comme à l'accoutumée. Suite au visionnage plusieurs questions me viennent en tête. Quel est le parcours scolaire typique pour devenir analyste forensique ? Nécessité d'un bac +5? Possible comme 1er job où il faut d'abord être analyste soc par exemple ? Existe t'il des certifications reconnues en France pour le forensique ? Merci pour la qualité de votre chaîne les gars,vous êtes aux top!💪
Je veux bien le lien vers le C2 qui s'auto camoufle ça avait l'air fascinant ... Respect deux heures super intéressant et visiblement avec un gros rhume ...
j'attendais ça depuis un moment
hyper gratifiant 😇
@NoobosaurusR3X t'es un génie 😂😂😂 il doit tout dire et entrer dans les détails
Bientôt une MasterClass les gars ✌✌✌👍👍👍
dis HB c"est possible une vidéos sur Evil-Droid cest outils est vraiment intéressant mais jai des difficulté a le faire fonctionner
🤧🤧🤧
Cyber talk forensique juste après la super série OSINT. Plus que parfait. Vous êtes au top les gars. Vous lisez dans mes pensées ;p
merciii
Une masterclass ! Comme d habitude. Vraiment captivant !
Ça méritait un @CyberTalk à la mode BzHunt 😮
Et bravo à Noobosaurus pour sa certif 🎉🎉🎉
Bzh aussi et en reconversion, j espère pouvoir vous rencontrer un jour, je ferai mon possible pour me rendre à un évent où vous serez présents tous les 2. Depuis le temps que ça me démange 😅
Merci !
On se verra à coup sûr, n'hésites pas ;)
@@HacktBack salut bien sympas comme sujet donc bravos à toi .
mais moi je souhaite parler de choses très peu connu des débutants
ainsi que de certaines personnes . sur le forensique .
excuse moi pour la longueur du commentaire .
mais fort intéressant niveau info .
dissimulation de données .
les disques durs objet d'analyse de prédilection lors d'une
fouille post-mortem .
le commentaire ici a pour but de faire découvrir au gens des techniques
employées dans la vie de tous les jours pour rendre la vie de l'investigateur
forensique plus difficile .
1) . les zones constructeurs HPA / DCO .
la premiére étape lors d'une investigation numérique post-mortem à froid .
est la duplication du / des disque (s) dur à analyser .
cette étape vise à fournir à l'enquêteur une copie sur laquelle il pourra travailler . afin d'avoir une copie parfaite . il est évident qu'il ne faut pas
modifier le média lors de la copie .
mais également ne rien oublier lors de la duplication .
en effet l'oubli d'une zone pourrait laisser passer des informations
déterminantes lors de la phase d'enquête .
parmi ces zones à ne pas oublier on en retrouve deux qui sont
généralement utilisées par les constructeurs .
ces zones sont appelés HPA . host protected area et DCO .
( device configuration overlay )
la hpa est souvent utilisée afin d'y stocker des outils de diagnostic
et / ou de restauration système afin d'économiser les dépenses
occasionnées par les dvd de restauration fourmis précédemment
par les constructeurs . on la retrouve également parfois
dans les systèmes anti-vol puisqu'elle résiste aux formatages .
la dco est par contre utilisée afin de permettre aux constructeurs
d'acheter différentes marques de disque dur et de choisir la taille
sous laquelle apparaîtra le disque dur .
par exemple un disque dur de 160 go apparaîtra sous la forme
d'un disque dur de 120 go . afin de les faire paraître uniforme .
une des caractéristiques de ces zones qui nous intéresse ici
est qu'elle ne sont pas normalement visibles . depuis un système
d'exploitation ou le bios ce qui rend leur manipulation / détection
non aisée par les utilisateurs .
ces deux zones sont toutefois modifiables via l'utilisation
d'outils spécialisés . ce qui permet à des individus ayant
connaissance de leur existence de pouvoir y cacher des informations .
cette dissimulation peut même fonctionner vis-à-vis de certains
outils servant lors d'une analyse forensique puisqu'il arrive que ceux ci ne
prennent pas en charge ces zones .
la gestion de ces zones s'effectue par l'intermédiaire de registre
gérés par le contrôleur de disque .
ces registres stockent différents types de valeurs qui sont
consultables et modifiables par l'intermédiaire de commandes ata .
comme identify device qui récupére le numéro du dernier
secteur accessible pour l'utilisateur sur le disque .
prenons tout d'abord le cas d'un disque dur d'une capacité
de 120 go n'ayant aucune zone protégée . dans ce cas ci
l'ensemble du disque dur est accessible ainsi le nombre
total de secteurs accessibles par l'utilisateur correspond
au nombre total de secteurs composants le disque dur .
prenons maintenant le cas où un uitilisateur souhaite créer
une zone hpa . afin de pouvoir y dissimuler des données .
pour ce faire il va devoir passer par l'intermédiaire de la commande
ata . set max address qui va lui permettre de définir le numéro
du dernier secteur accessible à l'utilisateur .
autrement dit il va redéfinir la taille de la zone accessible à l'utilisateur .
admettons qu'il souhaite se réserver 10 go il va placer les 11O premiers go
comme étant lisibles ainsi la zone s'étendant des 11O aux 120 go sera considérée comme une zone protégée puisque non accessible .
le seule moyen de détecter la présence d'une hpa est de faire appel
à la commande ata read native max address .
qui retourne le numéro du dernier secteur auquel une commande ata
peut accéder . ainsi si la valeur retournée est différente de celle retournée
par identify device c'est qu'il existe une zone hpa .
afin de pouvoir manipuler cette zone il faut remplacer la valeur
retournée par identify device par celle retournée par read native max address grâce à la commande set max address .
ainsi la zone fait à nouveau partie des secteurs manipulables par
l'utilisateur nous pouvons donc y stocker nos données puis redéfinir
la hpa comme précédemment avec la commande set max address.
dans le cadre d'une analyse forensique nous pouvons utiliser
l'outil disk- stat provenant de sleuthkit qui permet de détecter
la présence ou non d'une hpa .
en utilisant la comparaison des résultats de read native max address
et identify device . dans le cas où une hpa est détectée nous devons
la copier afin de l'analyser . pour ce faire l'utilisation
de l'outil disk -sreset provenant également du sleuthkit nous sera
d'une grande utilité puisque cet outil rend la hpa accessible .
en modifiant la valeur de identify device . pour qu'elle soit égale à
read native max address.
ils est également important de noter que cette opération peut être
temporaire . ou survive au reboot en fonction de la valeur d'un
flag lors de l'appel à la commande set max address.
ce qui peut permettre la suppression de la hpa juste le temps de
l'acquisition .
la device configuration overlay la DCO sert à réduire la taille d'un disque dur . pour ce faire il faut passer par la commande ATA. device configuration set . dans le cas où il n'y a pas déjà une hpa .
sur le disque . en effet dans le cas contraire l'exécution de la
commande résultera en une erreur .
dans le cas où l'on veut faire cohabiter une hpa et une dco sur un même
disque . il faudra d'abord créer la dco et ensuite la hpa .
a noter qu'ici nous ne retrouvons pas de bit permettant de choisir
si le changement est temporaire ou non . les manipulation
concermant la DCO surviront toujours au rédémarrage .
voilà pour cette info . et encore des excuse pour la longueur
sur ceux très bonne soirée à toi .
Bonjour les gars!
Une masterclass comme à l'accoutumée.
Suite au visionnage plusieurs questions me viennent en tête.
Quel est le parcours scolaire typique pour devenir analyste forensique ?
Nécessité d'un bac +5?
Possible comme 1er job où il faut d'abord être analyste soc par exemple ?
Existe t'il des certifications reconnues en France pour le forensique ?
Merci pour la qualité de votre chaîne les gars,vous êtes aux top!💪
Merci beaucoup !
Viens poser tes questions sur notre Discord, ça sera plus simple !
Aller c'est ti-par pour une masterclass !
Je veux bien le lien vers le C2 qui s'auto camoufle ça avait l'air fascinant ...
Respect deux heures super intéressant et visiblement avec un gros rhume ...
Quelques ressources à recommander pour comprendre le fonctionnement des systèmes windows, linux etc (kernel, process etc) ?
Pour Windows : ntoskrnl.org/
Pour Linux : le contenu des certifs LPIC1-2-3
Merci pour la question et du coup merci pour le lien @hachtback
Aller encore un perfect !
Merci !
👍👍👍👍