Windows: virtualiser un E01 avec “Disk Adapter For VMware Workstation”

Plusieurs personnes m’ont demandé récemment si on pouvait utiliser la technique de virtualisation d’un E01 décrite dans le post “Dump d’une base de données PostgreSQL en post-mortem“, mais sous windows. On ne vas pas se mentir, il y a encore des réfractaires à Linux, même dans notre monde DFIR/G33k/etc… Et il est vrai que lorsque […]

Logrotate, ou comment gérer ses logs!

Aujourd’hui nous allons étudier la façon dont linux gère la journalisation par défaut et comment créer des règles personnalisées pour nos logs issues du reverse proxy traefik. Si vous avez déjà analysé les logs d’une machine linux, vous êtes vous demandés pourquoi la journalisation syslog, wtmp ou autres btmp ne remonte pas à la date […]

Une stack ELK/Prometheus/Traefik sous docker? (Self-Hosting Part2)

Bonjour les amis. Dans ce tutoriel, nous allons mettre en place une stack ELK plus prometheus, sous docker, avec un très beau docker compose. L’objectif de cette stack est de valoriser les logs de notre reverse-proxy en y ajoutant des informations (de géolocalisation par exemple) et visualiser l’état du trafic en temps réel. En bonus, […]

Dump d’une base de données PostgreSQL en post-mortem

Un nouveau challenge m’est apparu… Cette fois, pas de MySQL, mais du PostgreSQL…. Comment dumper une base de données PostgreSQL présente sur l’image disque d’un de nos suspects, donc en post-mortem? Sachant que: Nous n’avons pas la machine physique, juste une image. Nous n’avons aucun mot de passe. Nous savons que la machine est une […]

En avant pour Traefik V2.2 (Self-Hosting Part1)

Dans ce billet, nous allons mettre en place un reverse proxy traefik 2 pour plusieurs containers, le tout en SSL, caché derrière un proxy CloudFlare, avec un chiffrement de bout en bout “strict”. Y’a du taff… J’ai entendu beaucoup de bien du reverse-proxy traefik . Spécialisé dans le routage des services conteneurisés. Quelques mots sur […]

Saloperie de NO_PUBKEY

Lorsque vous jouez souvent avec votre sources.list, vous risquez de tomber sur un joli message d’erreur NO_PUBKEY: Mais qu’est-ce que le fichier /etc/apt/sources.list? En très simplifié, il s’agit d’un fichier texte qui recense les serveurs sur lesquels allez aller chercher les paquets que vous voulez installer. Lorsque vous faite votre apt install gcc-7 par exemple, […]

Création d’une super-timeline plaso/log2timeline

Une des étapes fondamentale lorsque nous faisons du forensic (et lorsque qu’on a le temps), c’est de faire une timeline. Une timeline sert a retracer toute la vie d’un système du début à la fin, pour que l’on puisse suivre toutes les conséquences de n’importe quelle action. Nous allons pour cela utiliser la suite d’outils […]

Etude d’une image disque E01, sous Linux (ewfmount || xmount)

Maintenant, on change de sujet et on va parler un peu “forensic”. On m’a envoyé une image au format E01. Kézako? C’est quoi cette extension? L’extension *.E01 ou Encase Ex01 Bitstream, sont des containers dits forensic au format “Expert Witness Format”. Autrement dit, ce sont des volumes qui contiennent une preuve. Leur particularité est que […]

Export/Import d’une base de donnée mysql

Dans le précédent billet, nous avons créé un service “mysql”, ainsi qu’une base de données pour notre site web. Maintenant, nous allons utiliser ce service pour importer une base de données que nous aurons préalablement “dumpée” (comprendre exportée), depuis un autre serveur avec une autre instance mysql. Pour cela, nous devons nous connecter au serveur […]

Scroll to top