Forensique – Analyse de fichier – Cheatsheet

Analyse de fichiers

Glossaire

Magic Bytes = début du fichier
End Bytes = fin du fichier

Metadonnées

Type de fichier
file <file>

Recherche avec grep

grep <option> <motif/regex> <repertoire/fichier> | <filtre>
   
#    -e MOTIF , -E MOTIF
#    -i --ignore-case : ignore la casse
#    -R -r, --recursive : recherche récursive dans le répertoire 
#    -l --files-with-matches : afficher le nom du fichier, pas le texte qui a matché.
#    -v --invert-match : sélectionne les données qui correspondent à l'inverse du motif 
#    -n  --line-number : afficher le numéro de ligne
#    -o --only-matching : afficher seulement la partie qui match
#    -A : nombre de ligne à afficher après le match
#    -B : nombre de ligne à afficher avant le match
Recherche de liens http
grep -Roni -E "(http|https)://[a-zA-Z0-9./?=_%:-]*" ./ | sort -u
Recherche d’adresses IP
grep -rni -E '[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}' ./ | sort -u
grep -rni -E '192.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}' ./ | sort -u
Recherche de texte
grep -Ril "text-to-find-here" ./
Recherche dans un fichier binaire
grep <...> ./binary.raw  --binary-files=text

Décodage de données

base64

<string> | base64 -d
cat <file> | grep -oE "[A-Za-z0-9+/]{4}|[A-Za-z0-9+/]{3}=|[A-Za-z0-9+/]{2}==" | base64 -d

hexadécimal

echo "<hexadecimal>" | xxd -r -p > output

Extraction de données

Fichiers de la suite Office

Les fichiers pris en charge par Microsoft Office utilisent le format OLE2. Les documents OOXML (.docx, .xlsm, etc.) pris en charge par MS Office utilisent la compression zip pour stocker le contenu. Les macros intégrées dans les fichiers OOXML sont stockées dans le fichier binaire OLE2 qui se trouve dans l’archive zip.

Objets OLE2

Un objet OLE (Object Linking and Embedding, liaison et incorporation d’objets) est un fichier externe (document, graphique ou vidéo) créé à l’aide d’une application externe et qui peut être inséré dans une autre application.

# lister les flux OLE2
oledump <file>
# Estraction du flux <s>
oledump -s <s> -v <file>
Objets RTF

Les documents RTF ne prennent pas en charge les macros, mais peuvent contenir d’autres fichiers intégrés en tant qu’objets OLE1.

rtfdump <file>
# lister les groupes dans le fichier 
rtfdump <file> -f O
# extraire l'objet du groupe <g>
rtfdump <file> -s 5 -H -d > out.bin

Fichiers PDF

Magic Bytes : 0x255044462D = %PDF-
End Bytes: 0x49454E44 = IEND
🗎 Structure

Comprendre les fichiers PDF Un fichier PDF est un ensemble d’objets liés entre eux par un dictionnaire.

Scan du dictionnaire d’objets
pdfid <file>
Recherche d’objets malformés
peepdf -fl <file>

Archives compressées

PKZIP / APK

Magic Bytes : 0x504B = PK
Magic Bytes (archive vide) : 0x504B0506
Tools : unzip, apktool

GZIP

Magic Bytes : 0x1F8B
Tools : unzip

TAR

Magic Bytes : 0x7573746172

Il est possible de lister les fichiers présents dans une archive ZIP même si celle-ci est chiffrée.

Fichiers Image

Extraction des propriétés d’une image
exiftool <image>

Les données se trouvant après les End Bytes sont sont ignorées par la plupart des visionneurs d’images.

JPEG , JPG

Magic Bytes : 0xFFD8FFE0
End Bytes: 0xFFD9

PNG

Magic Bytes : 0x89504E470D0A1A0A = .PNG.
End Bytes: 0x49454E44 = IEND
.
Vérification de l’intégrité du fichier png
pngcheck <img>
pngcheck -v -f <img>

Excutables

MS-DOS, OS/2 or MS Windows

Magic Bytes : 0x4D5A = MZ
Magic Bytes : 0x5A4D = MZ

ELF

Magic Bytes : 0x7F454C46 = .ELF

Récupération de fichier

sudo foremost -v -q -i <file/data> -o <output/directory> #quick mode
sudo foremost -v -i <file/data> -o <output/directory> 
sudo photorec <file/data> 

Sources

https://en.wikipedia.org/wiki/List_of_file_signatures