hacktricks/forensics/basic-forensic-methodology/README.md

# Méthodologie de base en investigation numérique

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>

## Création et montage d'une image

{% content-ref url="../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md" %}
[image-acquisition-and-mount.md](../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md)
{% endcontent-ref %}

## Analyse de logiciels malveillants

Ce n'est **pas nécessairement la première étape à effectuer une fois que vous avez l'image**. Mais vous pouvez utiliser ces techniques d'analyse de logiciels malveillants indépendamment si vous avez un fichier, une image de système de fichiers, une image de mémoire, un pcap... donc il est bon de **garder ces actions à l'esprit** :

{% content-ref url="malware-analysis.md" %}
[malware-analysis.md](malware-analysis.md)
{% endcontent-ref %}

## Inspection d'une image

Si vous avez une **image numérique** d'un appareil, vous pouvez commencer à **analyser les partitions, les systèmes de fichiers** utilisés et **récupérer** des fichiers potentiellement **intéressants** (même ceux qui ont été supprimés). Apprenez comment faire dans :

{% content-ref url="partitions-file-systems-carving/" %}
[partitions-file-systems-carving](partitions-file-systems-carving/)
{% endcontent-ref %}

Selon les systèmes d'exploitation utilisés et même la plateforme, différents artefacts intéressants doivent être recherchés :

{% content-ref url="windows-forensics/" %}
[windows-forensics](windows-forensics/)
{% endcontent-ref %}

{% content-ref url="linux-forensics.md" %}
[linux-forensics.md](linux-forensics.md)
{% endcontent-ref %}

{% content-ref url="docker-forensics.md" %}
[docker-forensics.md](docker-forensics.md)
{% endcontent-ref %}

## Inspection approfondie de types de fichiers et de logiciels spécifiques

Si vous avez un fichier très **suspect**, alors **en fonction du type de fichier et du logiciel** qui l'a créé, plusieurs **astuces** peuvent être utiles.\
Lisez la page suivante pour apprendre quelques astuces intéressantes :

{% content-ref url="specific-software-file-type-tricks/" %}
[specific-software-file-type-tricks](specific-software-file-type-tricks/)
{% endcontent-ref %}

Je tiens à mentionner en particulier la page :

{% content-ref url="specific-software-file-type-tricks/browser-artifacts.md" %}
[browser-artifacts.md](specific-software-file-type-tricks/browser-artifacts.md)
{% endcontent-ref %}

## Inspection de la mémoire

{% content-ref url="memory-dump-analysis/" %}
[memory-dump-analysis](memory-dump-analysis/)
{% endcontent-ref %}

## Inspection de pcap

{% content-ref url="pcap-inspection/" %}
[pcap-inspection](pcap-inspection/)
{% endcontent-ref %}

## **Techniques anti-forensiques**

Gardez à l'esprit l'utilisation possible de techniques anti-forensiques :

{% content-ref url="anti-forensic-techniques.md" %}
[anti-forensic-techniques.md](anti-forensic-techniques.md)
{% endcontent-ref %}

## Chasse aux menaces

{% content-ref url="file-integrity-monitoring.md" %}
[file-integrity-monitoring.md](file-integrity-monitoring.md)
{% endcontent-ref %}

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>
Translated to French 2023-06-03 13:10:46 +00:00			`# Méthodologie de base en investigation numérique`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`* Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les [PLANS D'ABONNEMENT](https://github.com/sponsors/carlospolop) !`
			`* Découvrez [The PEASS Family](https://opensea.io/collection/the-peass-family), notre collection exclusive de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Obtenez le [swag officiel PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Rejoignez le [💬](https://emojipedia.org/speech-balloon/) [groupe Discord](https://discord.gg/hRep4RUj7f) ou le [groupe telegram](https://t.me/peass) ou suivez moi sur Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`

Translated to French 2023-06-03 13:10:46 +00:00			`## Création et montage d'une image`
GitBook: [master] 2 pages modified 2021-05-28 17:29:30 +00:00
GitBook: [#3475] No subject 2022-09-09 11:57:02 +00:00			`{% content-ref url="../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md" %}`
			`[image-acquisition-and-mount.md](../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md)`
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% endcontent-ref %}`
GitBook: [master] 2 pages modified 2021-05-28 17:29:30 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`## Analyse de logiciels malveillants`
GitBook: [master] 7 pages modified 2021-05-28 17:51:59 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`Ce n'est pas nécessairement la première étape à effectuer une fois que vous avez l'image. Mais vous pouvez utiliser ces techniques d'analyse de logiciels malveillants indépendamment si vous avez un fichier, une image de système de fichiers, une image de mémoire, un pcap... donc il est bon de garder ces actions à l'esprit :`
GitBook: [master] 7 pages modified 2021-05-28 17:51:59 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="malware-analysis.md" %}`
			`[malware-analysis.md](malware-analysis.md)`
			`{% endcontent-ref %}`
GitBook: [master] 7 pages modified 2021-05-28 17:51:59 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`## Inspection d'une image`
GitBook: [master] 7 pages and 6 assets modified 2021-05-28 17:07:52 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`Si vous avez une image numérique d'un appareil, vous pouvez commencer à analyser les partitions, les systèmes de fichiers utilisés et récupérer des fichiers potentiellement intéressants (même ceux qui ont été supprimés). Apprenez comment faire dans :`
GitBook: [master] 7 pages and 6 assets modified 2021-05-28 17:07:52 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="partitions-file-systems-carving/" %}`
			`[partitions-file-systems-carving](partitions-file-systems-carving/)`
			`{% endcontent-ref %}`
GitBook: [master] 7 pages and 6 assets modified 2021-05-28 17:07:52 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`Selon les systèmes d'exploitation utilisés et même la plateforme, différents artefacts intéressants doivent être recherchés :`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="windows-forensics/" %}`
			`[windows-forensics](windows-forensics/)`
			`{% endcontent-ref %}`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="linux-forensics.md" %}`
			`[linux-forensics.md](linux-forensics.md)`
			`{% endcontent-ref %}`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="docker-forensics.md" %}`
			`[docker-forensics.md](docker-forensics.md)`
			`{% endcontent-ref %}`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`## Inspection approfondie de types de fichiers et de logiciels spécifiques`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`Si vous avez un fichier très suspect, alors en fonction du type de fichier et du logiciel qui l'a créé, plusieurs astuces peuvent être utiles.\`
			`Lisez la page suivante pour apprendre quelques astuces intéressantes :`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="specific-software-file-type-tricks/" %}`
			`[specific-software-file-type-tricks](specific-software-file-type-tricks/)`
			`{% endcontent-ref %}`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`Je tiens à mentionner en particulier la page :`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="specific-software-file-type-tricks/browser-artifacts.md" %}`
			`[browser-artifacts.md](specific-software-file-type-tricks/browser-artifacts.md)`
			`{% endcontent-ref %}`
GitBook: [master] 11 pages modified 2021-05-28 17:24:45 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`## Inspection de la mémoire`
GitBook: [master] 46 pages modified 2021-05-28 17:27:17 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="memory-dump-analysis/" %}`
			`[memory-dump-analysis](memory-dump-analysis/)`
			`{% endcontent-ref %}`
GitBook: [master] 46 pages modified 2021-05-28 17:27:17 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`## Inspection de pcap`
GitBook: [master] 7 pages and 6 assets modified 2021-05-28 17:07:52 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="pcap-inspection/" %}`
			`[pcap-inspection](pcap-inspection/)`
			`{% endcontent-ref %}`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`## Techniques anti-forensiques`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`Gardez à l'esprit l'utilisation possible de techniques anti-forensiques :`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="anti-forensic-techniques.md" %}`
			`[anti-forensic-techniques.md](anti-forensic-techniques.md)`
			`{% endcontent-ref %}`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`## Chasse aux menaces`
GitBook: [master] 3 pages modified 2021-09-06 15:03:23 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% content-ref url="file-integrity-monitoring.md" %}`
			`[file-integrity-monitoring.md](file-integrity-monitoring.md)`
			`{% endcontent-ref %}`
GitBook: [master] 3 pages modified 2021-09-06 15:03:23 +00:00
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`* Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les [PLANS D'ABONNEMENT](https://github.com/sponsors/carlospolop) !`
			`* Découvrez [The PEASS Family](https://opensea.io/collection/the-peass-family), notre collection exclusive de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Obtenez le [swag officiel PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Rejoignez le [💬](https://emojipedia.org/speech-balloon/) [groupe Discord](https://discord.gg/hRep4RUj7f) ou le [groupe telegram](https://t.me/peass) ou suivez moi sur Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`