Live-forensics et PowerShell Live-forensics

1. WinRM et le live-forensics

Pour commencer, qu’est-ce que le live-forensics ? Il s’agit d’une méthode d’investigation numérique qui complète l’analyse forensique traditionnelle, qui est une analyse réalisée sur l’image disque d’une machine éteinte. "L’analyse forensique des systèmes vivants", en français, s’utilise, comme son nom l’indique, sur des machines actives et accessibles en ligne.

Cette technique est nécessaire pour tous les exemples d’attaques "en mémoire uniquement", qui ont été abordés au cours des premiers chapitres (voir chapitre Malware maison - Étape 1 : le dropper Memory Only). Par rapport à une analyse à froid, elle va permettre en particulier la collecte d’une image de la mémoire RAM qui serait impossible sur une machine éteinte.

Dans les grands SI, cette fonction est aujourd’hui portée par les EDR (Endpoint Detection and Response) qui, à l’aide d’un agent sur les postes et serveurs, va fournir ces fonctionnalités. Lorsque l’environnement ou le contexte ne permettent pas l’installation d’un tel produit, les fonctions de contrôle à distance de PowerShell comme WinRM, surtout s’il est couplé avec JEA, peuvent fournir des fonctionnalités similaires et intéressantes...

Pour consulter la suite, découvrez le livre suivant :
couv_EPCYBPOW.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Défendre et contrôler son AD
Suivant
Conclusion