Scribd Logo
Importer

Bienvenue sur Scribd !

  • 86 vues

    td4 Corrige Forensic

    Transféré par

    Salsa
    Le document présente un exercice d'analyse forensic sur un dump mémoire. Il identifie trois processus suspects, une communication suspecte vers une IP malveillante, et note qu'un emplacement de processus n'est pas courant. Il recommande de bloquer les communications et fichiers malveillants, et de scanner les machines.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    td4 Corrige Forensic

    Transféré par

    Salsa
    86 vues3 pages
    Le document présente un exercice d'analyse forensic sur un dump mémoire. Il identifie trois processus suspects, une communication suspecte vers une IP malveillante, et note qu'un emplacement de processus n'est pas courant. Il recommande de bloquer les communications et fichiers malveillants, et de scanner les machines.

    Titre original

    td4-corrige-forensic

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Le document présente un exercice d'analyse forensic sur un dump mémoire. Il identifie trois processus suspects, une communication suspecte vers une IP malveillante, et note qu'un emplacement de processus n'est pas courant. Il recommande de bloquer les communications et fichiers malveillants, et de scanner les machines.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    86 vues3 pages

    td4 Corrige Forensic

    Transféré par

    Salsa
    Le document présente un exercice d'analyse forensic sur un dump mémoire. Il identifie trois processus suspects, une communication suspecte vers une IP malveillante, et note qu'un emplacement de processus n'est pas courant. Il recommande de bloquer les communications et fichiers malveillants, et de scanner les machines.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 3

    Université Batna2

    Chahid Mostefa Benboulaid


    Faculté des sciences Département d’informatique TD Cyber Sécurité 2

    TD4: Analyse Forensic


    Exercice 1:

    Q1. Parmi les signes suivants lequel est considéré Q3. Une des techniques suivantes est anti-forensic :
    comme signe direct d'une infection ? a) Une injection SQL.
    a) Un message d'avertissement de Windows disant b) Une attaque DDoS.
    que l'éditeur est inconnu. c) La stéganographie.
    b) Le curseur de votre ordinateur qui se déplace tout
    seul.
    c) le ralentissement des performances processeur.

    Q2. L'analyse Forensic consiste à: Q4. L'analyse de la mémoire non volatile concerne:
    a) Analyser une machine infectée afin d'identifier le a) le disque dur.
    malware et la source de l'infection. b) La RAM.
    b) Faire une investigation sur la personne dont la c) Le processeur.
    machine a été infectée.
    c) Bloquer toutes les communications entrantes afin
    de minimiser le risque.

    Exercice 2:

    1) Après l'exécution de la commande pslist sur un dump mémoire, plusieurs processus ont été identifiés,
    ci-après le résultat:

    Identifiez le(s) processus suspect(s), sachant que:


     offset : c'est l'adresse mémoire du processus ;
     name : c'est le nom du processus en cours d’exécution ;
     PID (Process IDentification) : c'est le numéro d’identification du processus ;
     PPID (Parent Process ID) : c'est le PID du processus parent ;
     start : c'est la date et l’heure de lancement du processus.

    Nous avons 3 processus suspects: KLM656x.tmp.exe, dvTEriOh5279th.exe, Keylogger.exe

    Enseignante: Nesrine KHERNANE


    Université Batna2
    Chahid Mostefa Benboulaid
    Faculté des sciences Département d’informatique TD Cyber Sécurité 2

    2) Après l'exécution de la commande netscan sur un dump mémoire, plusieurs communications ont été
    identifiées, ci après le résultat:

    Identifiez la/les communication(s) suspecte(s).


    Toutes les communications avec l'IP 192.241.215.48 sont malveillantes (IP très mal réputée)

    3) Après l'exécution de la commande "dlllist" sur le processus 1685, nous avons le résultat suivant:

    Que pourriez-vous extraire comme information ?


    L'emplacement d'un de ces processus n'est pas courant

    4) Quelles recommandations pourriez-vous faire à votre entreprise avec les informations obtenues des
    étapes 1 à 3 ci-dessus ?
     Calculez les hash de chaque fichier malveillants et les ajouter à la BDD de l'AV.
     Bloquer les communications vers l'IP malveillante au niveau du FW.
     Fermez les ports non utilisés.
     Faire une scan complets des machines de l'entreprise pour détecter si un répertoire au nom
    hello.tmp a été créé.

    Enseignante: Nesrine KHERNANE


    Université Batna2
    Chahid Mostefa Benboulaid
    Faculté des sciences Département d’informatique TD Cyber Sécurité 2

     Bloquer les emails avec une pièce jointe avec les hashs détectés.
     Supprimez les emails reçus avec les hahs détectés.

    Enseignante: Nesrine KHERNANE

    Vous aimerez peut-être aussi