49 lines
1.6 KiB
Markdown
49 lines
1.6 KiB
Markdown
|
---
|
|||
|
date: 2023-04-24T23:00:00+01:00
|
|||
|
title: La clé du succès
|
|||
|
---
|
|||
|
|
|||
|
L’objectif de cet exercice est de vous faire découvrir les traces laissées par les clés USB.
|
|||
|
|
|||
|
{{% tag %}}Evtx{{% /tag %}}
|
|||
|
{{% tag %}}Registres{{% /tag %}}
|
|||
|
{{% tag %}}USB{{% /tag %}}
|
|||
|
{{% tag %}}Moyen{{% /tag %}}
|
|||
|
|
|||
|
Contexte du défi
|
|||
|
----------------
|
|||
|
|
|||
|
Malheur ! La startup Rob’Bot a sorti son nouveau chien robot : c’est le même modèle que celui que votre équipe allait dévoiler deux jours plus tard ! Vous en êtes sûrs, ils ont réussi à vous voler les plans et probablement plus… mais comment ?
|
|||
|
|
|||
|
Infrastructure à mettre en place
|
|||
|
--------------------------------
|
|||
|
|
|||
|
Seront nécessaires dans l'infrastructure :
|
|||
|
1 VM (Windows)
|
|||
|
|
|||
|
Pas-à-pas
|
|||
|
---------
|
|||
|
|
|||
|
Utiliser RegistryExplorer pour visualiser les registres et trouver les clés contenant les valeurs demandées
|
|||
|
Déterminer les logs EVTX (Event Viewer), qui permettent aussi de répondre à certaines questions
|
|||
|
Dans les « Documents Récents », il est possible de voir si un fichier a été ouvert sur une clé
|
|||
|
|
|||
|
Traces à enregistrer
|
|||
|
--------------------
|
|||
|
|
|||
|
Fichiers à fournir :
|
|||
|
un dump de disque de la VM
|
|||
|
|
|||
|
Questions à poser :
|
|||
|
Date de première connexion/dernière connexion de la clé USB
|
|||
|
Nom et modèle de la clé
|
|||
|
Numéro de série
|
|||
|
Lettre où elle a été montée lors de son dernier branchement
|
|||
|
Quel(s) fichier(s) a/ont été ouvert(s) par inadvertance sur la clé ?
|
|||
|
…
|
|||
|
|
|||
|
Ressources
|
|||
|
-----
|
|||
|
|
|||
|
Outils d’Eric Zimmermann : RegistryExplorer (a un certain nombre de plugins pour aider l’investigateur)
|
|||
|
Utiliser l’Event Viewer de Windows pour visualiser les logs
|