INVESTIGATION

NUMERIQUE
Sous la supervision de Mr MINKA
SOMMAIRE

Unit I
Unit II
Unit III
Unit IV
Unit V
 UNIT II:
Collecte de preuves
et Saisi de
Données
Pourquoi collecter les
preuves Obstacles

 Prévention future
 Responsabilité
 Transactions Informatiques
Rapides
Options de collecte  Piste de Papier
Électronique
 Retirer le système du réseau  Programmes d'Audit
et commencer à collecter  Difficulté d'Investigation
des preuves  Respect des Règles de
 Le lancer en ligne et tenter Collecte de Preuves
de surveiller l’intrus
Types de preuves
• Preuves Réelles Les Règles de la
• Preuve
témoignages
preuve
• Oui-dire • Admissibilité
• Authenticité
• Complète
• Fiable
• croyable
En utilisant ces cinq règles, nous pouvons établir quelques principes de base à respecter :

 Minimiser la manipulation et la corruption des données originales

 Rendre compte de toute modification et tenir des journaux détaillés de
vos actions
 Respecter les cinq règles de la preuve
 Ne pas dépasser vos connaissances
 Suivre la politique de sécurité locale
 Capturer une image aussi précise que possible du système
 Être prêt à témoigner
 Agir rapidement
 Travailler en parallèle si plusieurs systèmes sont impliqués
 Procéder des preuves volatiles aux preuves persistantes
 Ne pas éteindre le système avant de collecter les preuves
Ne pas exécuter de programmes sur le système affecté
Preuves Volatiles(collecter toujours les preuves volatiles en
premier )
Exemple d’ordre de volatilité:

Registres et cache
Tables de routage
Cache ARP
Table des processus
Statistiques et modules du noyau
Mémoire principale
Systèmes de fichiers temporaires
Mémoire secondaire
Configuration du routeur
Topologie du réseau
Procédure Générale

 Identification des Preuves : Vous devez être capable de

distinguer entre les preuves et les données inutiles.
 Préservation des Preuves
 Analyse des Preuves
 Présentation des Preuves
Collecte et Archivage Méthodes de Collecte

Journaux et Enregistrement: Vous devez

exécuter une sorte de fonction Congélation de la Scène:Cela implique de
d'enregistrement système. Il est important prendre un instantané du système dans
de garder ces journaux en sécurité et de son état compromis
les sauvegarder périodiquement
Honeypotting : Il s'agit du processus de
Surveillance: En surveillant, nous pouvons création d'un système réplique et d'attirer
recueillir des statistiques, détecter des l'attaquant vers celui-ci pour une
irrégularités et tracer d'où vient un surveillance plus approfondie.
attaquant et ce qu'il fait.
Artéfacts
 Il y a presque toujours quelque chose laissé
par l'attaquant, que ce soit des fragments de
code, des programmes compromettants, des
processus en cours d'exécution ou des
fichiers journaux de sniffers. Ceux-ci sont
connus sous le nom d'artéfacts.
 Ne jamais tenter d'analyser un artéfact sur
le système compromis.
 Les artéfacts peuvent avoir divers effets, et
nous voulons nous assurer que leurs impacts
sont contrôlés.
 Etapes de collecte:
01 Trouver les Éliminer les Moyens
02
Preuves Externes de
Changement
Spectacular

Lorem
Trouver les Collecter les
Ipsum 03 Données Preuves
Dolor
Magnificent
Pertinentes

C
Créer
Inspiring un Ordre de Documenter Tout
04
Volatilité
c 06 c 05
 Controlling Contamination: the chain of
Custody(chaine de garde)

Une fois les données collectées, elles doivent être protégées contre la
contamination. Les originaux ne doivent jamais être utilisés lors de
l'examen forensique; des copies vérifiées doivent être utilisées.
Un bon moyen de garantir que les données restent non corrompues est de
maintenir une chaîne de garde. Il s'agit d'une liste détaillée de ce qui a
été fait avec les copies originales une fois qu'elles ont été collectées.

Analyse Temps
Une fois les données collectées avec Pour reconstruire les événements
succès, elles doivent être analysées pour qui ont conduit à la compromission
extraire les preuves que vous souhaitez de votre système, vous devez être
présenter et pour reconstruire ce qui s'est capable de créer une chronologie.
réellement passé Ne jamais, au grand jamais, changer
l'horloge d'un système affecté.
Analyse Forensic des Sauvegardes Reconstruction de l'Attaque
Lorsque nous analysons des sauvegardes, il Après avoir collecté les données, nous
est préférable d'avoir un hôte dédié pour pouvons tenter de reconstruire la chaîne
cette tâche. Nous avons besoin d'un hôte d'événements menant à l'intrusion de
dédié, sécurisé, propre et isolé de tout réseau l'attaquant et à ses conséquences. Nous
pour analyser les sauvegardes. devons corréler toutes les preuves que nous
avons rassemblées. Incluez toutes les preuves
Documentez tout ce que vous faites. Assurez- que nous avons trouvées lors de la
vous que ce que vous faites est répétable et reconstruction de l'attaque, peu importe leur
capable de toujours donner les mêmes taille
résultats
Recherche et Saisie
Il n'existe pas de méthodologie unique pour effectuer une enquête et une
analyse en informatique forensic. Il y a trop de variables pour qu'il y ait une
seule façon de procéder. Certaines des variables typiques qui viennent à
l'esprit incluent les systèmes d'exploitation, les applications logicielles, les
algorithmes et applications cryptographiques, ainsi que les plateformes
matérielles
Il existe quelques lignes directrices largement acceptées pour l'analyse forensic
informatique

Impartialité
Stérilisation des Supports
Image Fidèle
Intégrité du Support Original
 Développement
Avant l’Enquete de la
Pour commencer, vous devez disposer de Méthodologie
techniciens qualifiés en interne et d'un Définir votre Méthodologie : Établissez
laboratoire de premier ordre avec le bon votre méthodologie et travaillez en accord
équipement et les bons outils forensic. avec celle-ci.
Les procureurs peuvent exiger plus de Ici, la méthodologie définit une méthode,
documentation concernant la gestion de la un ensemble de règles : des lignes
chaîne de preuves. directrices qui sont employées par une
Lorsque vous avez une affaire qui se présente, discipline.
vous savez ce qui est requis et pouvez
travailler sur le cas dès le début pour soutenir
ces exigences.
La chaine de garde

La chaîne de preuve est cruciale dans les enquêtes forensic informatiques. Si les
ressources le permettent, affectez deux personnes spécialisées en forensic
informatique à chaque cas à chaque étape. Il est important de documenter les
heures et les dates des étapes prises ; les noms des personnes impliquées ; et sous
quelle autorité ces étapes ont été effectuées
 Recherche et saisi des preuves
Avant de procéder à la recherche et à la saisie, assurez-vous d'avoir tous les
documents appropriés remplis ainsi que la permission de l'autorité pour
rechercher et saisir la machine du suspect.

Etape 1: préparation Etape 2: Snapshot

Vérifiez tous les supports qui seront Photographiez la scène, qu'il s'agisse
utilisés dans le processus d'examen. d'une pièce d'une maison ou d'un
Documentez le processus de nettoyage bureau. Notez également la scène.
et de numérisation. Assurez-vous que Mettez à profit vos compétences
tous les outils forensic sont sous licence d'enquêteur ici. Notez les images, les
et que tout l'équipement de laboratoire
objets personnels, etc. Photographiez la
est en état de fonctionnement.
preuve réelle
Etape 3: transport Etape 4: Examen

Si vous avez l'autorité légale de Préparez les preuves acquises pour

transporter la preuve vers votre l'examen dans votre laboratoire. Il existe
laboratoire, emballez la preuve de de nombreuses étapes à suivre pour
manière sécurisée. Photographiez/filmez garantir que l'analyse est effectuée
et documentez la manipulation de la correctement, en préservant l'intégrité
preuve en quittant la scène vers le
des données et en suivant les procédures
véhicule de transport et du véhicule de
établies.
transport vers l'installation d'examen du
laboratoire.
Internship Report Infographics

Jupiter is the Venus has a

biggest Intern Market beautiful
planet of name but is
them all very hot

Mercury is Compan Pluto is

the closest Society considered a
planet to the y dwarf planet
Sun
Internship Report Infographics
Testimonials

Testimonial 1
“Jupiter is a huge
Testimonial
“Mercury is the
2
gas giant named closest planet to the
after the Roman Sun and the
god of the skies and smallest one in the
the lightning” Solar System”
—John M. Walker —Vitoria Pereira
 Infographics
You can add and edit some infographics to your
presentation
● Choose your favouriteto present
infographic and insertyour
it in yourdata inusing
presentation a visual
Ctrl C + Ctrl Vway.
or Cmd C + Cmd V in Mac.
● Select one of the parts and ungroup it by right-clicking and choosing “Ungroup”.
● Change the color by clicking on the paint bucket.
● Then resize the element by clicking and dragging one of the square-shaped points of
its bounding box (the cursor should look like a double-headed arrow). Remember to
hold Shift while dragging to keep the proportions.
● Group the elements again by selecting them, right-clicking and choosing “Group”.
● Repeat the steps above with the other parts and when you’re done editing, copy the
end result and paste it into your presentation.
● Remember to choose the “Keep source formatting” option so that it keeps the design.
For more info, please visit our blog.