Tâches
Le forensics (investigation numérique) consiste à extraire des preuves ou des données cachées à partir de fichiers, disques, images mémoire ou paquets réseau.
Analyse de fichiers → file, strings, xxd, binwalk
Stéganographie → Données cachées dans images/audio
Analyse mémoire → Volatility (dump RAM)
PCAP / réseau → Wireshark, tcpdump, tshark
Forensics disque → Autopsy, FTK, dd| Outil | Usage |
|---|---|
| file | Identifier le vrai type d'un fichier |
| strings | Extraire les chaînes ASCII/Unicode |
| xxd | Afficher en hexadécimal |
| binwalk | Détecter des fichiers imbriqués |
| exiftool | Lire les métadonnées (images, PDF) |
| steghide | Stéganographie dans images JPG/BMP |
| zsteg | Stéganographie PNG (LSB) |
Les fichiers ont des magic bytes (signature) dans leurs premiers octets :
| Magic bytes (hex) | Type |
|---|---|
| FF D8 FF | JPEG |
| 89 50 4E 47 | PNG |
| 50 4B 03 04 | ZIP / DOCX |
| 25 50 44 46 | |
| 7F 45 4C 46 | ELF (binaire Linux) |
Astuce CTF : un fichier avec une mauvaise extension est souvent l'indice qu'il faut chercher ses vrais magic bytes avec xxd.Q1 Quel outil permet d'identifier le vrai type d'un fichier (pas son extension) ?
Q2 Que sont les "magic bytes" d'un fichier ?
Q3 Quel outil lit les métadonnées EXIF d'une image (auteur, GPS, appareil) ?