P.I.L.O.T.E

1 min de lecture

Analyse forensique (basique) post-incident

Objectif

Identifier les preuves techniques de l’incident : quoi, quand, comment, par qui ?

Étapes de base

  1. Isolation du système (hors ligne, image disque RAM)
  2. Récupération des journaux système, sécurité, réseau
  3. Analyse de la mémoire vive (Volatility, dump RAM)
  4. Analyse du disque (timestamps, exécutables suspects, persistence)
  5. Corrélation avec CTI / IOC
  6. Rapport d’analyse technique

Outils classiques

  • Volatility / FTK Imager / Autopsy / The Sleuth Kit
  • Sysinternals (Microsoft)
  • Wireshark, tcpdump pour réseau
  • Scripts d’analyse de hash / métadonnées

Précautions

  • Chaîne de preuve = documentation complète
  • Pas de modification des horodatages
  • Analyse sur copie, jamais sur original

Example

Un simple fichier .lnk malveillant peut contenir une preuve d’exfiltration, souvent visible dans la mémoire ou l’historique réseau.

Vue Graphique