Product SiteDocumentation Site

11.4. Analyse post mortem

Si vous souhaitez rassembler plus d'informations, le paquet tct (The Coroner's Toolkit de Dan Farmer et Wietse Venema) contient des utilitaires pour effectuer une analyse post mortem d'un système. tct permet à l'utilisateur de collecter des informations sur les fichiers effacés, les processus qui s'exécutent et plus. Consultez la documentation fournie pour plus d'informations. Ces utilitaires, ainsi que quelques autres, sont disponibles dans http://www.sleuthkit.org/ de Brian Carrier. Ils permettent l'analyse post mortem d'une image des disques par une interface Web. Dans Debian, vous trouverez les paquets sleuthkit (les outils) et autopsy (l'interface graphique).
N'oubliez pas que l'analyse post mortem devrait toujours être faite sur une copie des données et jamais sur les données elles-mêmes. Si ces dernières sont altérées par cette analyse, vous pourriez perdre des indices importants pour comprendre ce qui s'est passé exactement, en plus de rendre les preuves potentiellement non recevables en cour.
Vous trouverez plus d'informations sur les analyses post mortem dans le livre http://www.porcupine.org/forensics/forensic-discovery/ (disponible en ligne) de Dan Farmer's et Wietse Venema, ainsi que leur http://www.porcupine.org/forensics/column.html et leur http://www.porcupine.org/forensics/handouts.html. Le bulletin de Brian Carrier, http://www.sleuthkit.org/informer/index.php, est également une très bonne source d'astuces pour les analyses post mortem. Finalement, le http://www.honeynet.org/misc/chall.html est une excellente façon de peaufiner vos compétences en analyse post mortem puisqu'ils contiennent des attaques réelles contre des pots de miel et procurent des défis qui vont de l'analyse post mortem de disques durs à l'analyse des journaux des pare-feu et la capture de paquets. Pour obtenir des renseignements sur les paquets d'analyse post mortem dans Debian, consultez http://forensics.alioth.debian.org/.
FIXME : Ce paragraphe fournira, dans un avenir proche je l'espère, plus d'informations sur l'analyse post mortem d'un système Debian.
FIXME : Décrire comment utiliser debsums sur un système stable avec les md5sums sur un CD et le système de fichiers récupéré restauré sur une partition séparée.
FIXME : Ajouter des liens vers des articles d'analyse post mortem (tel que le défi inversé de Honeynet ou les http://staff.washington.edu/dittrich/).