Triage

Table des matières

• Aperçu
• Caractéristiques liées au triage
  • Priorisation
  • Filtres de fichiers
  • Profils d'acquisition
  • Exécution sur des systèmes et des périphériques en fonctionnement
    • Créer une image sparse
• Scénarios
  • Scénario: Prévisualisation d'un ordinateur pour la recherche de contenu pédo-pornographique

Aperçu

Parfois, vous devez prendre une décision rapide sur un ou plusieurs systèmes et vous n'avez ni le temps ni les ressources pour créer des images complètes. Par exemple, lors d'une perquisition, vous voulez savoir s'il existe des données notables sur le système. Ou vous êtes à un endroit avec de nombreux systèmes et vous voulez savoir lesquels doivent être analysés en premier. Autopsy a des fonctionnalités qui vous permettront de trouver rapidement les données d'intérêt sans faire des images complètes des appareils. Ces fonctionnalités seront décrites ci-dessous, suivies de quelques exemples de scénarios qui montrent comment tout assembler.

Caractéristiques liées au triage

Il existe de nombreuses fonctionnalités d'Autopsy qui peuvent entrer en jeu dans une situation de triage. Certaines vous aident à traiter au plus tôt les fichiers les plus susceptibles d'être pertinents, et d'autres vous permettent de continuer à analyser les données après la déconnexion du système cible.

Priorisation

L'objectif est de trouver d'abord les fichiers les plus importants lorsque le temps d'analyse d'un système est limité. Autopsy s'exécute toujours en premier sur les dossiers de l'utilisateur (le cas échéant), car dans de nombreuses situations, ce sont les dossiers les plus susceptibles de contenir des données d'intérêt.

Filtres de fichiers

Dans certains cas particuliers, vous pouvez connaître les types de fichiers spécifiques qui vous intéressent. Par exemple, si vous êtes uniquement intéressé par la recherche d'images, vous pouvez gagner du temps en n'analysant aucun fichier non image. Cela permettra à un système d'être traité beaucoup plus rapidement que si vous analysiez chaque fichier.

Les filtres de fichiers vous permettent de limiter les types de fichiers qui seront traités. La section File Filters (Filtres de fichiers personnalisés) de la page relative aux Ingest Modules (Modules d'acquisition) montre comment créer un filtre de fichiers. Vous pouvez filtrer sur le nom/l'extension du fichier, le chemin ou la date à laquelle le fichier a été récemment modifié. Une fois enregistré, votre nouveau filtre de fichiers peut être sélectionné lors de la configuration des modules d'acquisition.

Profils d'acquisition

Une autre façon d'accélérer l'analyse consiste à n'exécuter que certains des modules d'acquisition. Par exemple, si nous ne nous intéressons qu'aux images, il peut être inutile d'exécuter le module Keyword Search (Recherches par mots clés) ou le module Encryption Detection (Détection de chiffrement). Vous pouvez sélectionner et configurer manuellement et à chaque fois les modules que vous souhaitez exécuter, mais comme de nombreuses sessions sont similaires, il peut être plus facile de configurer un profil d'acquisition. Un profil d'acquisition vous permet de stocker le filtre de fichiers que vous souhaitez exécuter, les modules d'acquisition qui doivent être activés et votre configuration pour chaque module d'acquisition.

Une fois que vous avez configuré au moins un profil d'acquisition, un nouvel écran apparaîtra avant le panneau de configuration normal des modules d'acquisition. Si vous choisissez votre profil défini par l'utilisateur, le panneau de configuration des modules d'acquisition sera entièrement ignoré et les modules d'acquisition de ce profil seront exécutés sur la source de données.

Voir la section Profiles (Profils d'acquisition) de la page Ingest Modules (Modules d'acquisition) pour plus d'informations sur la configuration et l'utilisation d'un profil d'acquisition.

Exécution sur des systèmes et des périphériques en fonctionnement

Dans une situation de triage, il n'y a généralement pas le temps de faire une image complète du système en question. Il existe plusieurs façons de traiter des systèmes et des appareils allumés avec Autopsy:

• Les périphériques tels que les clés USB peuvent être analysés en tant que disques locaux sans avoir besoin de créer un fichier image. Voir la section Ajout d'un disque local pour plus de détails.
• Un lecteur de triage en direct peut être créé qui vous permettra d'exécuter Autopsy à partir d'un lecteur USB sur un système allumé. Toutes les données du cas seront enregistrées sur la clé USB avec des modifications minimes sur le système analysé. Voir Création d'un lecteur de triage en direct pour plus de détails.
• L'ordinateur cible peut être démarré à partir d'une clé USB Linux ou Windows de confiance et Autopsy peut être exécutée à partir de celle-ci. Paladin inclut Autopsy dans sa clé USB Linux bootable et une image Windows FE peut également être créée.

Créer une image sparse

Avec les méthodes énumérées ci-dessus pour analyser les systèmes et les périphériques en direct, un problème persiste: votre cas Autopsy ne sera pas très utile après la déconnexion du lecteur. Il fera référence à un appareil qui n'existe plus et, plus important encore, vous pourriez ne pas avoir de copie des fichiers d'intérêt que vous avez observés lors du triage.

Pour résoudre ce problème, vous pouvez choisir de faire un "sparse VHD" lorsque Autopsie traite l’appareil. Cela enregistrera une copie de chaque secteur lu par Autopsy, qui comprendra les structures du système de fichiers (telles que les Master File Tables) et les fichiers qui ont été analysés par les filtres d'acquisition (telles que toutes les images).

VHD est un format de fichier utilisé par les machines virtuelles Microsoft qui est lisible par Windows et d'autres outils d'investigation. La taille du disque dur virtuel augmentera au fur et à mesure qu'Autopsy lit les données à partir du lecteur cible.

Pour créer un VHD sparse, cochez la case "Make a VHD image..." lors de la sélection du disque à analyser.

Scénarios

Scénario: Prévisualisation d'un ordinateur pour la recherche de contenu pédo-pornographique

Dans ce scénario, vous essayez de déterminer si des images d'exploitation d'enfants existent dans une situation de perquisition où vous disposerez d'un temps limité avec le système cible.

Préparation au bureau:

• Créez un support de triage en direct sur votre clé USB
• Lancez Autopsy à partir de cette clé USB et créez un profil d'acquisition qui:
  • Utilise un filtre de fichiers qui ne s'appliquera que sur les extensions d'image et ZIP
  • Exécute uniquement les modules Hash Lookup (Recherche de hachage), Picture Analyzer (Analyseur d’images), File Type Identification (Identification du type de fichier) et Embedded File Extractor (Extraction de fichiers intégrés)
  • Utilise les ensembles de hachage connus de fichiers pédo-pornographiques, en suivant les instructions de la section Utilisation d'ensembles de hachage pour les copier sur la clé USB

Sur les lieux de la perquisition:

• Démarrez l'analyse:
  • Branchez le lecteur de triage en direct que vous avez créé au bureau sur l'ordinateur du suspect
  • Lancer Autopsy à partir du fichier .bat
  • Créer un cas (enregistrement sur votre clé USB)
  • Ajouter en source de données le lecteur local
    • "C:"
    • Choisissez de créer un VHD et de conserver l'emplacement par défaut
• Au fur et à mesure que l'analyse automatisée se poursuit:
  • Choisissez View->File Types->Images dans l'arborescence et passez en revue les miniatures
  • Attendez les hits de l'ensemble de hachage
  • Examinez les fichiers EXIF
  • Marquez tous les fichiers notables trouvés
• Vous pouvez arrêter l'analyse à tout moment. Toutes les données lues jusqu'à présent seront dans le fichier VHD.