-
S'abonnerAbonnez-vous à nos différents supports -
Magazines à l’unitéCommandez les nouvelles parutions ou complétez votre collection -
Livraison offerte à partir de 50€ d’achat ** Offre valable pour les numéros hors abonnements, livraison en France métropolitaine, appliquée une fois connecté !
- Kiosk OnlineLes magazines 100% online
- Diamond ConnectBase documentaire 100% digitale
Anciens Numéros
Sommaire
- Exploit Corner
- [04-08] Contournement de l ASLR et du DEP - Exploitation d Internet Explorer 8 sous Windows 7 SP1
- Malware Corner
- [11-15] Win32/PSW.OnlineGames.OUM : c est pas du jeu !
- Pentest Corner
- [16-21] DPAPI : les secrets du moteur de chiffrement de Windows
- Dossier [Forensics : les nouveaux enjeux]
- [22] Préambule
- [23-31] Les « live forensics » et l enquête judiciaire
- [32-37] Le framework Volatility
- [38-44] Analyse de disques protégés par BitLocker
- [45-49] Point de vue : Dialogue avec un expert judiciaire
- Science
- [50-62] Banques en ligne : à la découverte d EMV-CAP
- Architecture
- [65-73] w3af : audit en boîte noire d applications web
- Code
- [74-82] Analyse statique et pratique avec GCC et ses plugins
La publication technique des experts de la sécurité offensive & défensive
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
L'analyse forensique est un domaine en pleine expansion, les techniques d'analyse ont suivi l'évolution de la technologie. Techniquement, nous pouvons retrouver en mémoire n'importe quelle donnée volatile, que ce soit des mots de passe ou des clés de chiffrement.
Avec la généralisation de machines possédant plusieurs giga-octets de mémoire vive et utilisant la cryptographie à la fois sur le poste et sur le réseau, l'analyste ne peut plus faire l’impasse sur l'analyse de la mémoire.
Pour reprendre les propos de Nicolas Ruff [sstic07], trois méthodologies existent pour réaliser des analyses forensiques: dead forensics, live forensics et « la voie du milieu ». Le dead forensics consiste simplement de manière imagée à débrancher la prise de courant, donc globalement à analyser une copie de disque (appelée aussi image) ou de tous supports numériques. C'est le plus souvent la méthode « officielle ». Le live forensics a pour objectif de réaliser l'analyse sur la cible en cours d'exécution, cette méthode est essentiellement utilisée pour détecter toute éventuelle compromission sur un système. Enfin, « la voie du milieu », comme son nom l'indique, se positionne entre ces deux méthodologies et consiste à analyser une image mémoire d'un système en cours d'exécution. Cette méthodologie a un avantage sur le dead forensics, à savoir qu'il est possible de récupérer et analyser les informations dynamiques en collectant la mémoire physique, et a aussi un avantage sur le live forensics, puisque toute contre-expertise sera possible à partir de l'image analysée.
L'audit de programmes en C et C++ s'automatise souvent. Des outils existent, mais ils ont des approches très différentes : de l'utilisation de grep à celle d'outils plus proches du langage analysé, la qualité des analyses (et le prix des outils) varie fortement. La possibilité d'étendre ces outils pose aussi problème. Si l'on veut une base libre, gratuite, proche du langage et extensible, pourquoi ne pas réutiliser directement un compilateur ? Le système de plugins intégré à la suite de compilateurs GCC (disposant de parseurs C, C++, mais aussi Objective C, Java, ... ainsi que de diverses représentations internes) nous permet de concevoir nos propres analyses statiques.Cet article se veut une introduction à l'architecture de GCC et au développement de petits analyseurs facilitant la vie lors d'un audit de code.
