Scribd
Importer
229 vues9 pages

Guide Autopsy pour Enquête Informatique

L'analyse d'une image disque d'un ordinateur Dell Latitude à l'aide d'Autopsy a permis de déterminer les informations suivantes: le système d'exploitation était Windows XP installé en 2004, le propriétaire enregistré était Greg Schardt, le dernier arrêt enregistré était le 27/08/2004 à 10h46, l'adresse email SMTP utilisée était [email protected].

Transféré par

Ayoub Amine
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
229 vues9 pages

Guide Autopsy pour Enquête Informatique

L'analyse d'une image disque d'un ordinateur Dell Latitude à l'aide d'Autopsy a permis de déterminer les informations suivantes: le système d'exploitation était Windows XP installé en 2004, le propriétaire enregistré était Greg Schardt, le dernier arrêt enregistré était le 27/08/2004 à 10h46, l'adresse email SMTP utilisée était [email protected].

Transféré par

Ayoub Amine
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

Computer Forensic Case

12/7/2021

Réaliser par : ayoub amine


 C’est quoi autopsy

Autopsy est un logiciel informatique qui simplifie le déploiement de nombreux programmes


et plug-ins open source utilisée dans The Sleuth Kit.L'interface utilisateur graphique affiche
les résultats de la recherche médico-légale du volume sous-jacent, ce qui permet aux
enquêteurs de signaler plus facilement les sections de données pertinentes. L'outil est en
grande partie maintenu par Basis Technologie Corp. avec l'aide de programmeurs de la
communauté. L'entreprise vend des services d'assistance et de formation à l'utilisation du
produit.

Étape 1 :

Après avoir téléchargé le disque de preuves et installé Autopsy, exécutez Autopsy et sélectionnez
Nouveau cas

Étape 2 :

Définissez un nom pour ce cas car j'ai défini ayoub.amine et également défini l'emplacement où vous
souhaitez enregistrer

vos données d'enquête médico-légale. cliquez sur suivant et fournissez des informations, mais c'est
facultatif. cliquez sur terminer.
Étape 3 :

Sélectionnez les premières options Image disque


Sélectionnez l'image disque de preuve que vous avez téléchargée auparavant. j'ai créé un séparé

dossier par le nom de Forensic Case et collé les images disque dedans.

Remarque : bien que les deux parties de l'image téléchargée se trouvent dans ce dossier, vous ne
verrez que

la première partie à sélectionner. L'autopsie prendra automatiquement la deuxième partie de l'image


téléchargée.
On Cliquez sur suivant et laissez toutes les options par défaut.

On va Attendez que toutes les étapes d'analyse et de vérification d'intégrité se chargent


complètement.

assurez-vous d'avoir suffisamment de stockage minimum 1 Go sinon les modules ne seront pas
complètement

charge et l'enquête sera incomplète.

1. Generating an image hash and confirming the integrity of the image


Réponse:

aee4fcd9301c03b3b054623ca261959a
Comment

Cliquez sur Data source --> Select the image Dell Latitude CPi, E01 --> Cliquez sur File Metadata

MD5: aee4fcd9301c03b3b054623ca261959a

Nous vérifions le hachage pour voir si l'image n'est pas modifiée ou si quelque chose n'est pas ajouté
ou supprimé de

les activités. C'est très important car une seule falsification des données rendrait un accusé coupable

ou innocent.

2. Determining the Operating System used on the disk


Réponse:

Microsoft Windows XP

Comment

Cliquez sur data artifacts --> Operating System Information

puis sur le côté droit, cliquez sur le software, vous pouvez voir l'onglet Informations sur le
programme qui est écrit Microsoft Windows XP.

3. Determining the date of OS installation


Réponse:

2004-08-20 00:48:27 CEST

Comment

Cliquez sur data artifacts --> Operating System Information

puis sur le côté droit, cliquez sur le software que vous pouvez voir sous l'onglet Date Heure qui est
écrit Microsoft Windows XP

4. Determining the registered owner, account name in use and the last recorded shut
down date and time
Réponse:

Ro : Greg Schardt

The last recorded shutdown time of the computer is 2004/08/27-10:46:27

Comment
Cliquez sur data artifacts --> Operating System Information

puis sur le côté droit, cliquez sur le logiciel, vous pouvez voir l'onglet Propriétaire qui montre Greg
Schardt.

Cliquez sur Data Sources select 4Dell Latitude --> vol2 -->
WINDOWS\system32\config\software\Microsoft\WindowNT\CurrentVersion\Prefetcher\ExitTime

5. Determining the account name of the user who mostly used the computer and the user
who last logged into it
Réponse:

N-1A9ODN6ZXK4LQ

Comment

Cliquez sur data artifacts --> Operating System Information

puis sur le côté droit, cliquez sur System, vous pouvez voir le sous Nom qu'il affiche

N-1A9ODN6ZXK4LQ
6. Determining the hacker handle of the user and tying the actual name of the user to his
hacker handle
Réponse:

Comment

7. Determining the MAC and last allocated IP address of this computer


Réponse:

IP=192.168.1.111, MAC=00:10:a4:93:3e:09

Comment

Cliquez sur Data Sources select 4Dell Latitude --> vol2 --> Program Files/Look@LAN/irunin.ini

8. Locating the programs installed in this computer that could have been used for
hacking purposes
Réponse:

Comment

9. Collecting information regarding the IRC service that was used by the owner
Réponse:

Comment

10. Searching the Recycle Bin for relevant information


Réponse:

4 files in recycle bin

Comment

Cliquez sur Data Sources select 4Dell Latitude --> vol2 --> Recycler
11. Listing the Newsgroups that the owner of the computer has registered to
Réponse:

Comment

12. Determining the SMTP email address in use.


Réponse:

The SMTP email address is [email protected]

Comment

Cliquez sur Data Sources select 4Dell Latitude --> vol2 --> Program Files\Agent\Data\Agent.ini

Vous aimerez peut-être aussi