dimanche 15 octobre 2006

A propos d'inforensique* mémoire ...

L'inforensique est une activité rarement pratiquée par les consultants, car rarement demandée par les clients. Il faut dire que dans la plupart des cas, les pirates entrent par brute-force SSH ... Les travaux du Honeynet Project sont particulièrement édifiants sur le niveau moyen des pirates.

Dans ce contexte, l'inforensique mémoire, destiné à contrer les intrusions "tout en mémoire", tient de la science-fiction. A ma connaissance, il n'y a eu que 2 expérimentations publiques sur de l'inforensique mémoire :

  • Le challenge DRFWS 2005
  • Le challenge Securitech 2005, niveau 16 (qui n'est malheureusement plus disponible en ligne)
Pourtant les intrusions "tout en mémoire" sont accessibles au plus grand nombre à travers le Meterpreter de l'outil Metasploit. Alors, que faire ?

La solution du challenge Securitech n'est pas en ligne. A contrario, le challenge DRFWS 2005 a produit 2 outils intéressants : MemParser et KntList. Jusqu'à récemment, ces outils n'étaient pas disponibles publiquement, mais les présentations qui en ont été faits sont très alléchantes [MemParser-PDF, KntList-PDF]. Je vous laisse méditer sur cette reconstruction graphique des structures ETHREAD et EPROCESS.



Vous comprendrez donc mon excitation lorsqu'on m'a dit que MemParser était passé sur SourceForge cet été, dans l'anonymat le plus total !

* Inforensique = traduction officielle de forensics

4 commentaires:

c4rtman a dit…

En fait, l'inforensique était uniquement pratiquée, jusqu'à peu, dans l'arrière cours des tribunaux étatsuniens (une ou deux boîte d'experts frenchies suffisaient pour l'hexagone, remplacés quelques fois par des consultants lorsque la société victime n'avait pas envie de porter plainte).

Mais, avec la démocratisation énorme de Metasploit - qui voici encore deux ans était connu de quelques initiés - le "forensics live" reçoit soudain un coup de projecteur inédit. Il est vrai qu'il est beaucoup plus "sexy" que son cousin "forensic dead" qui est beaucoup plus laborieux.

Des outils comme Memparser et Kntlist promettent un passage de l'âge de pierre ("string" et "grep") à celui des Lumières. Mais, nous sommes nombreux à penser qu'il faudra attendre quelques mois, avant qu'un outil (Open Source) vraiment professionnel apparaisse.

Anonyme a dit…

Inforensique et aussi une marque francaise ... si si

Anonyme a dit…

Les KnTTools et KnTList sont actuellement disponibles: http://users.erols.com/gmgarner/KnTTools/.

- Rossetoecioccolato.

newsoft a dit…

Merci pour l'info. Juste un détail :

KnTTools Basic (30 days support) $ 165.00
KnTList (1 yr support) $ 850.00
KnTTools Enterprise (30 days support)(single copies) $ 365.00
KnTList + 5 KnTTools Enterprise (1 yr support) $2350.00.