Introduction aux techniques de récupération de données -
Les techniques de récupération de données sont une partie essentielle de la criminalistique numérique. C'est non seulement essentiel pour les hackers éthiques et les testeurs de pénétration, mais aussi pour les gens normaux dans notre vie de tous les jours. La plupart d'entre vous peuvent même penser qu'une fois que vous avez formaté votre disque dur ou votre téléphone portable, toutes vos données ont disparu. Mais ce n'est pas le vrai fait. Les données peuvent être récupérées de n'importe quelle manière. En outre, s'il ne s'agit que de formatage, les techniques de récupération de données sont une tâche facile et peuvent être effectuées avec des outils simples et gratuits disponibles en ligne. Mais pour les novices, qui n'en ont aucune idée, les techniques de récupération de données peuvent être une situation révolutionnaire.
Certains d'entre vous ne savent peut-être même pas ce que sont les techniques de récupération de données et quels sont les aspects de la criminalistique numérique. Alors, regardons cela plus en profondeur.
Médecine légale numérique
La plupart d'entre vous peuvent donc penser qu'une fois que vous disposez d'un disque dur protégé par mot de passe, vos données sont sécurisées. Et si vous supprimez tout et que vous le formatez à nouveau, vous penseriez qu'il a disparu, hein? Mais ce n'est pas le cas. Et c'est là que Digital Forensics entre en jeu.
La criminalistique numérique fait partie du piratage éthique. Il traite non seulement des techniques de récupération de données, mais également de la manipulation des données, en recherchant la source des images, des vidéos et des mp3 téléchargés sur le Web. Digital Forensics est une catégorie diversifiée à traiter. Il comprend également la numérisation, la réparation et la collecte d'Intel sur les disques durs les plus corrompus et d'autres appareils tels que les téléphones portables, les PDA, les ordinateurs portables, la biométrie et bien d'autres. Ainsi, les techniques de récupération de données sont l'une des parties les plus essentielles de la cybercriminalité, car suffisamment de données sur un pirate / partie spécifique aideraient à résoudre facilement le crime. Sinon, au moins les données récupérées pourraient aider à identifier la méthode de travail du pirate.
Scénario de la vie quotidienne
Maintenant vous pensez: Ok, c'est bien pour un chapeau blanc et un testeur de pénétration, mais comment est-ce utile dans notre vie quotidienne? Permettez-moi de vous donner un scénario réel.
Le scénario I: Nexus 5 Revelation
Pendant mes jours quand j'ai commencé à apprendre le piratage et tout ça, j'étais un monstre gadget. J'ai toujours eu l'habitude d'acheter beaucoup d'appareils et de les expérimenter. Mais depuis, l'argent est un problème, j'avais l'habitude d'acheter des téléphones portables d'occasion vendus sur eBay, olx ou auprès de vendeurs en bordure de route pour le quart du prix d'origine. Il n'y a pas si longtemps, lorsque j'expérimentais avec un Nexus 5 que j'achetais sur eBay pour 8K, j'ai perdu beaucoup de données que j'avais à l'intérieur. Le truc est arrivé quelque chose comme ça:
Chargeur de démarrage Nexus 5
Après avoir acheté le Nexus 5, il a été entièrement formaté par l'ancien propriétaire. Je l'ai rooté et j'ai installé Cyanogen Mod 11.00 (CM11-KitKat) et j'ai installé un noyau totalement AK. En fait, cela fonctionnait si bien que j'ai commencé à l'utiliser comme pilote quotidien. Mais quand j'ai essayé de l'overclocker, le téléphone est mort. La batterie a été brûlée en raison d'une surcharge. J'ai acheté une autre batterie et je l'ai soudée. Mais quand j'ai démarré la Cellule, elle était bloquée sur la boucle de démarrage (Bootloop signifiant un chargement sans fin à l'écran de chargement au démarrage). J'ai donc dû réinstaller tout le système d'exploitation. Mais comme je voulais récupérer toutes les données que j'avais à l'intérieur, j'ai dû faire quelques gadgets de singe pour récupérer toutes les données. Ce n'était pas une situation simple. Et quand je parle de techniques de récupération de données, je ne parle pas de données internes. Je veux dire les données réelles du téléphone où les paramètres et autres choses sont stockés. J'ai donc commencé à chercher en ligne des outils de formation sur la récupération de données gratuitement et j'ai trouvé l'outil Safecopy pour Linux. J'avais le dessus sur Linux, mais je n'en savais rien. Je l'ai installé en tapant:
Cours recommandés
- Cours en ligne sur HTML et HTML5
- Cours de test de logiciels professionnels
- Cours de certification en ligne dans Drupal 7
- Formation de certification en ligne dans JQuery
$ apt-get installe une copie sécurisée
Une fois installé, j'ai essayé de créer une image disque complète de la partition de données et de cache en utilisant Safecopy en utilisant la commande ci-dessous:
$ safecopy / dev / Nexus5 nexus5.iso
. Toutes mes données étaient de quelque chose comme 5-6 concerts, mais les données récupérées semblaient être d'environ 14 concerts. J'ai été choqué de voir ça. Maintenant que j'étais désespéré et curieux de récupérer mes données sans corruption; J'ai également utilisé des outils ADB (Android Debug Bridge) pour effectuer la sauvegarde.
J'ai installé les outils ADB sous Linux en tapant:
$ apt-get install android-tools-ADB
J'ai utilisé la commande suivante pour effectuer la sauvegarde complète de mon téléphone portable:
$ adb backup -apk -shared -all -f /root/temp.ab
Si vous souhaitez simplement sauvegarder sans apk, vous pouvez utiliser l'une des options suivantes:
$ adb backup -all -f /root/temp.ab
Vous pouvez cependant vérifier la commande help pour rechercher d'autres indicateurs et options.
Maintenant, vient la partie la plus choquante. Il a fallu environ 3 à 4 heures pour obtenir la sauvegarde complète du téléphone portable. Une fois terminé, le fichier total que j'ai reçu était de 33 concerts. J'ai été choqué quand j'ai vu ça. Mon Nexus 5 entier était hors de 16 concerts dont je n'avais que 12 concerts disponibles pour stocker des trucs, et encore une fois, je n'en ai utilisé que 5-6. Alors, d'où diable venaient les 26 concerts restants? La pire question était de savoir où tout était stocké? Confus avec cela, j'ai utilisé SQLite Viewer pour afficher le fichier de sauvegarde avant de pouvoir le restaurer à nouveau, et ce que j'ai vu était incroyable. Non seulement il a fallu une sauvegarde de la mienne, mais lorsque j'ai essayé de récupérer les données, toutes les données stockées par le propriétaire précédent ont également été restaurées. Je pouvais voir les chats Facebook et les données We-chat ainsi que l'utilisation du navigateur SQLite et de la visionneuse SQLite. Ce n'était qu'une question de temps avant de pouvoir séparer les anciennes données de récupération de mes propres données. J'aurais également pu récupérer le SMS et les informations de contact en utilisant le tristement célèbre Kit de détective, mais j'ai pensé à lui donner un peu de temps avant de pouvoir maîtriser la récupération de base de base de données. J'ai également récupéré la base de données Whatsapp, et avec un peu d'ingénierie sociale, j'ai également piraté la clé cryptée de la personne à qui j'avais acheté le téléphone portable. Mais cependant, plus tard, j'ai appelé la personne en question car il était un homme humble et je l'ai informé des problèmes qui auraient pu se produire si cela devait tomber entre de mauvaises mains.
Scénario II: La méthode Kevin Mitnick
Je doute que la plupart d'entre vous aient entendu parler du tristement célèbre pirate informatique Kevin Mitnick. Il a écrit de nombreux livres sur l'ingénierie sociale et le piratage. Il figurait sur la liste des personnes les plus recherchées par le FBI et a également purgé 5 ans de prison pour la même chose, mais a ensuite été libéré car de nombreuses preuves n'ont pas été trouvées contre lui. Vous vous demandez peut-être pourquoi je dis cela. La raison en est que; Kevin était un excellent ingénieur social. Et j'ai utilisé plusieurs de ses astuces pour pénétrer dans des sites Web et des organisations (légalement évidemment). Ce qu'il avait l'habitude de faire était très impressionnant puisqu'il usurpait l'identité de quelqu'un comme lui et obtenait un accès physique à une organisation, puis le piratait. Il avait également l'habitude de conduire des bennes à ordures à travers lesquelles il pouvait accéder à des fichiers sensibles jetés comme déchets à la poubelle.
Maintenant, quand j'ai lu son livre «Art of Deception», j'ai pensé que nous devrions l'essayer. Et c'était il y a deux ans quand je travaillais dans une autre organisation informatique. Je savais que tous les 3 ans, l'entreprise se maintenait à jour en changeant une partie du matériel et vendait ces composants au plus offrant sur eBay par lots. Apparemment, j'ai acheté quelques disques durs de là-bas. Tout était propre et formaté et lent. J'ai donc utilisé cet outil connu sous le nom de techniques de récupération de données EASEUS pour récupérer les données supprimées. À ce moment-là, je ne connaissais pas la copie sécurisée. J'ai donc utilisé ce logiciel de formation Data Recovery. J'ai d'abord utilisé la version d'essai et j'ai trouvé de nombreux fichiers, mais j'ai été gravement endommagé et je n'ai pas pu les récupérer. De plus, les fichiers qui étaient affichés comme «fichiers récupérables» avaient plus de 2-3 ans. Donc, j'avais alors un disque live qui était Knoppix, le fameux disque live pour tout dépanner. Mais ce que j'ai fait et je me suis rendu compte plus tard, c'était que cela pouvait se faire à travers n'importe quelle distribution Linux et pas seulement Knoppix. J'ai utilisé la commande dd pour cloner tout le disque dur et le scanner secteur par secteur. dd est un outil de copie d'utilitaire de disque pour Linux. Ici, vous pouvez même spécifier presque tout, de la taille du bloc au clonage d'un disque entier.
J'ai utilisé la commande suivante pour cloner le disque dur:
$ dd if = / dev / sdb1 of = / root / tempclone.iso bs = 2048
Ici, vous pouvez spécifier n'importe quelle taille de bloc selon votre souhait allant de 512k à 4096 jusqu'à ce que vous ne sachiez pas ce que vous faites. Ici, dd demande à l'ordinateur de rechercher un lecteur avec l'étiquette sdb1, et s'il y est, de faire une copie de tout le disque dans un fichier iso ou image en fonction de votre utilisation avec une taille de bloc de 2048k, puis de l'enregistrer dans le répertoire racine avec le nom de tempclone.iso. Vous pouvez également inverser le processus de conversion d'un clone iso en disque dur physique en tapant ce qui suit:
$ dd if = / root / tempclone.iso of = / dev / sdb1 bs = 1024
Ici, je préfère toujours utiliser la taille de bloc côté bas en raison de préférences personnelles. Vous pouvez l'augmenter si vous le souhaitez, mais j'ai eu de mauvaises expériences avec cela dans le passé. D'où la faible taille des blocs.
Ainsi, en clonant le disque dur, vous avez maintenant un clone complet de tout le disque dur sur votre ordinateur. Mais notez que cela ne fonctionnera pas sur un disque dur au format simple car il n'y a rien à cloner. Vous devez d'abord récupérer les données corrompues, en utilisant un bon logiciel de récupération de disque comme EASEUS, même si c'est illisible, ce n'est pas un problème. Une fois récupéré, vous pouvez le cloner à l'aide de la commande dd. La raison en est que, si votre disque dur a des secteurs défectueux irrécupérables, le disque dur ne vous permettra même pas de lire le bloc de données restant à proximité de ce secteur. Mais nous pouvons le faire, en clonant le lecteur. Une fois cloné, vous pouvez utiliser les outils suivants pour identifier et supprimer les secteurs défectueux et enregistrer uniquement les secteurs bons et récupérables, puis les lire:
- HDDscan
(http://hddscan.com/)
- HDDLLF
(http://hddguru.com/)
- Vérifier Flash
(http://mikelab.kiev.ua/index_en.php?page=PROGRAMS/chkflsh_en)
- Chip Genius
(www.usbdev.ru/files/chipgenius/)
Ainsi, en faisant cela, j'ai extrait environ 390 Go de données sur le disque dur de 500 Go, et duquel j'ai pu récupérer des données non corrompues d'environ 236 gigaoctets. Maintenant, c'était un problème grave, car les informations que j'ai reçues étaient extrêmement confidentielles. En examinant les données, j'ai vu qu'il s'agissait du disque dur utilisé par l'équipe des ressources humaines pour enregistrer les salaires, les fonds de prévoyance et d'autres informations comptables. J'ai rapidement rapporté ces informations au chef du service informatique et je l'ai informé de cela, mais comme il s'agit de l'Inde, aucune mesure appropriée n'a été prise. J'ai recommandé à l'entreprise de détruire les disques durs plutôt que de les vendre, car cela pourrait en fait être un cauchemar si les détails des informations du compte bancaire tombaient entre de mauvaises mains. Néanmoins, on m'a demandé de me retirer, mais j'ai cependant obtenu une promotion à cause de cela, ce qui est tout à fait une autre histoire.
Forensique numérique et techniques de récupération de données: conséquences
Mais le fait est que les techniques de récupération de données ne s'appliquent pas seulement à toutes les autres organisations, mais également aux personnes normales utilisant des appareils électroniques pour stocker des données confidentielles. Je pourrais continuer encore et encore à ce sujet, mais cela n'a pas d'importance. La chose importante à savoir est de savoir comment détruire les preuves de criminalistique numérique. Les pirates utilisent aujourd'hui le cryptage LUKS pour détruire les données si quelqu'un les manipule, ce qui écrase chaque octet avec des zéros plutôt que tout autre nombre hexadécimal. Cependant, cela rend les techniques de récupération de données inutiles. Mais encore une fois, ce n'est pas un jeu d'enfant pour tout le monde d'utiliser le cryptage LUKS. En outre, l'utilisation du cryptage LUKS présente un gros inconvénient: si vous oubliez vous-même le mot de passe des données stockées, il ne peut pas être récupéré quoi qu'il arrive. Vous serez coincé pour toujours. Mais évidemment, il vaut mieux que personne n'ait accès aux données, plutôt qu'un voleur qui les utilise à des fins malveillantes.
Les techniques de récupération de données et la criminalistique numérique sont une autre raison importante pour laquelle les pirates détruisent normalement toutes les données avec une suppression sécurisée de l'ordinateur victime ou esclave une fois leur travail terminé afin que rien ne puisse leur être retracé. Il y a toujours plus à faire qu'il n'y paraît. Les techniques de récupération de données, comme toute autre chose sur la planète, sont à la fois une aubaine et une malédiction. Ce sont les deux faces d'une même pièce. Vous ne pouvez pas en sauvegarder un en détruisant l'autre.
Première source d'image: Pixabay.com
Articles recommandés: -
Voici quelques articles qui vous aideront à obtenir plus de détails sur la criminalistique numérique et les aspects importants des techniques de récupération de données, alors suivez simplement le lien.
- Plan de campagne de marketing numérique puissant
- 5 stratégies simples de marketing numérique pour réussir en affaires
- 11 compétences importantes qu'un directeur du marketing numérique doit posséder
- Comment l'apprentissage numérique va-t-il changer l'éducation?
- Guide approprié sur Drupal vs Joomla
- Drupal 7 vs Drupal 8: Caractéristiques
- ACCA vs CIMA: Fonctions