FCCU-PXE
Preface
Imaginez que vous deviez enquêter sur un grand nombre d'ordinateurs comme par exemple dans un
Cybercafé
ou bien dans le reseau d'une entreprise et ce afin de determiner quel PC a été utilisé pour commettre un crime ou une fraude.
Avec quelques
mots clefs, vous pourriez imaginer démarrer chaque ordinateur avec un CD bootable (comme le nôtre par exemple
FCCU GNU/Linux Forensic CD) ou bien une disquette ou encore une clef usb bootable.
Mais que feriez vous si aucun des ordinateurs n'est équipé de lecteur CD, ni de lecteur de disquettes et de port USB ...
Ou bien si vous êtes simplement un peu paresseux (comme tout informaticien non ?).
C'est ici que notre méthode
FCCU-PXE entre en jeu.
J'aimerais remercier ici Kent Robotti pour sa distribution bootable
RIP (Recovery Is Possible) qui nous à servi comme bon point de départ.
1. "Abus" de technoloie
La technologie que nous allons utiliser ici se nomme en anglais "
PXE (Preboot Execution Environment)".
Intel en a publié les
specifications
en 1999.
Simplement, il s'agit de créer un serveur
dhcp étendu avec des options spécifiques PXE,
de fournir un serveur
PXE boot and et un programme
network bootstrap.
Ne paniquez pas si ces termes vous semblent peu familiers. J'ai fait un script très simple qui va générer tout ceci pour vous.
Ce script est disponible à partir de la
version 10 du FCCU GNU/Linux Forensic CD.
2. Usage
Le but est que même les gens qui ne sont pas habitués à GNU/Linux puissent utiliser cette méthode.
Il suffit de démarrer votre portable, connecté au réseau sur lequel vous allez enquêter.
Veillez au préalable à ne pas subir les interférence d'un autre serveur DHCP.
Démarrez votre portable avec le CD FCCU GNU/linux Forensic donc, et attendez jusqu'au moment où vous voyez le prompt de Bash
Qui devrait ressembler à ceci :
"root@tty1#".
Entrez la commande suivante :
# fccu-pxe.sh
Ce script va vous poser
deux questions:
1. Quels
mots clefs voulez vous rechercher
2. Sur quels
support voulez vous effectuer la recherche.
Mots clefs
Ici c'est facile, il suffit de taper les mots que vous voulez rechercher, un par ligne et sans lignes vides.
Quand c'est fait, appuyez sur la touche
F2 pour sauver le fichier suivi de
F10 pour quitter.
Supports
Si vous êtes nouveau sous GNU/Linux, sachez que la plupart des disques IDE sont identifiés par "/dev/hdx" où le "x" indique :
- "a" pour le premier disque du premier contrôleur IDE (aussi appellé "primary master")
- "b" pour le second disque du premier contrôleur IDE ("primary slave")
- "c" pour le premier disque sur le deuxième contrôleur IDE
- "d" pour le deuxième disque sur le deuxième contrôleur IDE
Les diques SCSI, les disques USB externes ou encore les disques SATA sont identifiés par "/dev/sdx" ou "x" peut être "a"
pour le premier appareil identifié et ainsi de suite.
Si vous n'êtes pas sûr de la manière dont les disques sont identifiés sur les ordinateurs à analyser, démarrez en un avec le CD FCCU GNU/Linux et tapez:
# cat /proc/partitions
Ceci vous montrera assez d'informations pour continuer.
Vous pouvez biensûr indiquer plusieurs supports (
Un par ligne et pas de lignes vides).
Ca ne côute rien d'indiquer ici tout les disques IDE, si un disque n'est pas trouvé, le script continuera juste avec le suivant sur la liste.
Une fois que vous avez choisi les supports à analyser appuyez sur
F2 (save) et ensuite
F10 (exit).
Asseyez-vous et relaxez vous le script vous dira quand vous pourrez démarrer les ordinateurs clients (Ca prend un certain temps).
3. Démarrez les ordinateurs à analyser
Avant tout, vérifiez que les ordinateurs visés peuvent
booter via la réseau (La plupart des PC depuis 2001 le peuvent).
Ceci peut-être vérifié dans les options du BIOS. Vous devriez y voir quelque chose comme "PXE" ou "Network" boot option.
Prenez soins
d'enlever toutes les autres options de boot, c'est plus prudent , sauf
l'option PXE/Network.
4. Remarques
Comme indiqué plus haut, assurez vous d'être le seul serveur DHCP dans l'environnment réseau, vous pourriez avoir des résultats étranges.
Pour éviter les problèmes, je vous suggère d'utiliser
votre propre HUB ou SWITCH pour réaliser la méthode FCCU-PXE.
