Title: FCCU-PXE
Subject: FCCU-PXE
Author: Geert Van Acker
Date: 08 Dec 2005
Version: 1.0
Translation: Christophe Monniez
Licence: Creative Commons

FCCU-PXE

Preface

Imaginez que vous deviez enquêter sur un grand nombre d'ordinateurs comme par exemple dans un Cybercafé ou bien dans le reseau d'une entreprise et ce afin de determiner quel PC a été utilisé pour commettre un crime ou une fraude. Avec quelques mots clefs, vous pourriez imaginer démarrer chaque ordinateur avec un CD bootable (comme le nôtre par exemple FCCU GNU/Linux Forensic CD) ou bien une disquette ou encore une clef usb bootable.
Mais que feriez vous si aucun des ordinateurs n'est équipé de lecteur CD, ni de lecteur de disquettes et de port USB ...
Ou bien si vous êtes simplement un peu paresseux (comme tout informaticien non ?).
C'est ici que notre méthode FCCU-PXE entre en jeu.
J'aimerais remercier ici Kent Robotti pour sa distribution bootable RIP (Recovery Is Possible) qui nous à servi comme bon point de départ.

1. "Abus" de technoloie

La technologie que nous allons utiliser ici se nomme en anglais "PXE (Preboot Execution Environment)". Intel en a publié les specifications en 1999.
Simplement, il s'agit de créer un serveur dhcp étendu avec des options spécifiques PXE, de fournir un serveur PXE boot and et un programme network bootstrap.
Ne paniquez pas si ces termes vous semblent peu familiers. J'ai fait un script très simple qui va générer tout ceci pour vous. Ce script est disponible à partir de la version 10 du FCCU GNU/Linux Forensic CD.

2. Usage

Le but est que même les gens qui ne sont pas habitués à GNU/Linux puissent utiliser cette méthode. Il suffit de démarrer votre portable, connecté au réseau sur lequel vous allez enquêter. Veillez au préalable à ne pas subir les interférence d'un autre serveur DHCP. Démarrez votre portable avec le CD FCCU GNU/linux Forensic donc, et attendez jusqu'au moment où vous voyez le prompt de Bash
Qui devrait ressembler à ceci :
"root@tty1#".
Entrez la commande suivante :

# fccu-pxe.sh

Ce script va vous poser deux questions:

1. Quels mots clefs voulez vous rechercher

2. Sur quels support voulez vous effectuer la recherche.

Mots clefs

Ici c'est facile, il suffit de taper les mots que vous voulez rechercher, un par ligne et sans lignes vides. Quand c'est fait, appuyez sur la touche F2 pour sauver le fichier suivi de F10 pour quitter.

Supports

Si vous êtes nouveau sous GNU/Linux, sachez que la plupart des disques IDE sont identifiés par "/dev/hdx" où le "x" indique :
Les diques SCSI, les disques USB externes ou encore les disques SATA sont identifiés par "/dev/sdx" ou "x" peut être "a" pour le premier appareil identifié et ainsi de suite.
Si vous n'êtes pas sûr de la manière dont les disques sont identifiés sur les ordinateurs à analyser, démarrez en un avec le CD FCCU GNU/Linux et tapez:

# cat /proc/partitions

Ceci vous montrera assez d'informations pour continuer.

Vous pouvez biensûr indiquer plusieurs supports (Un par ligne et pas de lignes vides). Ca ne côute rien d'indiquer ici tout les disques IDE, si un disque n'est pas trouvé, le script continuera juste avec le suivant sur la liste.
Une fois que vous avez choisi les supports à analyser appuyez sur F2 (save) et ensuite F10 (exit).

Asseyez-vous et relaxez vous le script vous dira quand vous pourrez démarrer les ordinateurs clients (Ca prend un certain temps).

3. Démarrez les ordinateurs à analyser

Avant tout, vérifiez que les ordinateurs visés peuvent booter via la réseau (La plupart des PC depuis 2001 le peuvent). Ceci peut-être vérifié dans les options du BIOS. Vous devriez y voir quelque chose comme "PXE" ou "Network" boot option.

Prenez soins d'enlever toutes les autres options de boot, c'est plus prudent , sauf l'option PXE/Network.

4. Remarques

Comme indiqué plus haut, assurez vous d'être le seul serveur DHCP dans l'environnment réseau, vous pourriez avoir des résultats étranges. Pour éviter les problèmes, je vous suggère d'utiliser votre propre HUB ou SWITCH pour réaliser la méthode FCCU-PXE.

Creative Commons License

This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 2.5 License.