Analyse de fichiers
Glossaire
Magic Bytes = début du fichier
End Bytes = fin du fichier
Metadonnées
Type de fichier
file <file>
Recherche avec grep
grep <option> <motif/regex> <repertoire/fichier> | <filtre>
# -e MOTIF , -E MOTIF
# -i --ignore-case : ignore la casse
# -R -r, --recursive : recherche récursive dans le répertoire
# -l --files-with-matches : afficher le nom du fichier, pas le texte qui a matché.
# -v --invert-match : sélectionne les données qui correspondent à l'inverse du motif
# -n --line-number : afficher le numéro de ligne
# -o --only-matching : afficher seulement la partie qui match
# -A : nombre de ligne à afficher après le match
# -B : nombre de ligne à afficher avant le match
Recherche de liens http
grep -Roni -E "(http|https)://[a-zA-Z0-9./?=_%:-]*" ./ | sort -u
Recherche d’adresses IP
grep -rni -E '[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}' ./ | sort -u
grep -rni -E '192.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}' ./ | sort -u
Recherche de texte
grep -Ril "text-to-find-here" ./
Recherche dans un fichier binaire
grep <...> ./binary.raw --binary-files=text
Décodage de données
base64
<string> | base64 -d
cat <file> | grep -oE "[A-Za-z0-9+/]{4}|[A-Za-z0-9+/]{3}=|[A-Za-z0-9+/]{2}==" | base64 -d
hexadécimal
echo "<hexadecimal>" | xxd -r -p > output
Extraction de données
Fichiers de la suite Office
Les fichiers pris en charge par Microsoft Office utilisent le format OLE2. Les documents OOXML (.docx, .xlsm, etc.) pris en charge par MS Office utilisent la compression zip pour stocker le contenu. Les macros intégrées dans les fichiers OOXML sont stockées dans le fichier binaire OLE2 qui se trouve dans l’archive zip.
Objets OLE2
Un objet OLE (Object Linking and Embedding, liaison et incorporation d’objets) est un fichier externe (document, graphique ou vidéo) créé à l’aide d’une application externe et qui peut être inséré dans une autre application.
# lister les flux OLE2
oledump <file>
# Estraction du flux <s>
oledump -s <s> -v <file>
Objets RTF
Les documents RTF ne prennent pas en charge les macros, mais peuvent contenir d’autres fichiers intégrés en tant qu’objets OLE1.
rtfdump <file>
# lister les groupes dans le fichier
rtfdump <file> -f O
# extraire l'objet du groupe <g>
rtfdump <file> -s 5 -H -d > out.bin
Fichiers PDF
Magic Bytes : 0x255044462D
= %PDF-
End Bytes: 0x49454E44
= IEND
🗎 Structure
Comprendre les fichiers PDF Un fichier PDF est un ensemble d’objets liés entre eux par un dictionnaire.
Scan du dictionnaire d’objets
pdfid <file>
Recherche d’objets malformés
peepdf -fl <file>
Archives compressées
PKZIP / APK
Magic Bytes : 0x504B
= PK
Magic Bytes (archive vide) : 0x504B0506
Tools : unzip
, apktool
GZIP
Magic Bytes : 0x1F8B
Tools : unzip
TAR
Magic Bytes : 0x7573746172
Il est possible de lister les fichiers présents dans une archive ZIP même si celle-ci est chiffrée.
Fichiers Image
Extraction des propriétés d’une image
exiftool <image>
Les données se trouvant après les
End Bytes
sont sont ignorées par la plupart des visionneurs d’images.
JPEG , JPG
Magic Bytes : 0xFFD8FFE0
End Bytes: 0xFFD9
PNG
Magic Bytes : 0x89504E470D0A1A0A
= .PNG.
End Bytes: 0x49454E44
= IEND
.
Vérification de l’intégrité du fichier png
pngcheck <img>
pngcheck -v -f <img>
Excutables
MS-DOS, OS/2 or MS Windows
Magic Bytes : 0x4D5A
= MZ
Magic Bytes : 0x5A4D
= MZ
ELF
Magic Bytes : 0x7F454C46
= .ELF
Récupération de fichier
sudo foremost -v -q -i <file/data> -o <output/directory> #quick mode
sudo foremost -v -i <file/data> -o <output/directory>
sudo photorec <file/data>