Lors d'une affaire de harcèlement sexuel, la Cour de Cassation a retenu le SMS comme preuve valide [1] et a condamné un employeur à des dommages et intérêts.

Lire la suite

Dans l'article sur l'acquisition de données sur les mobiles publié dans MISC, il est décrit à la fin comment décoder un SMS.

Un SMS récupéré avec Chipit par exemple est sous cette forme:

0007913386094000F0040B913326345678F100007030323022304012C16030180C0
683C16030180C0683C120FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

Le premier octet ici 00 signifie que le SMS est inutilisé. Le TPDU est en fait encodé en ASCII 7 bits avec un en-tête.

J'ai utilisé l'API pduconv développé par Nerdlabs Consulting pour créer rapidement un petit décodeur de SMS :

$ ./decodesms /tmp/sms
SMS decoder (c) Lexfo 2007

Status: unused (0x00)
Service number: +33689004000
Sender number: +33614365871
Message length: 18
Message: AAAAAAAAAAAAAAAAAA

J'ai simplement extrait les données les plus utiles pour les expertises forensiques.

Dans le précédent billet, nous avons évoqué la commande jfs_logdump et la manière d'avoir d'obtenir un historique des modifications des fichiers sur JFS. Un autre outil dont dispose Lexfo permet cette fois-ci de récupérer les fichiers effacés sur JFS, ce que j'appelle plus spécifiquement: Root D-Tree recovery.

Pour le développement, Lexfo s'est appuyé sur les documents suivants:

• JFS Overview
• JFS Layout
• JFS Log
• Forensics for Advanced UNIX File Systems

En étudiant ces documents, on commence à deviner les techniques pour cacher des données (à la manière de thegrugq sur ext2/ext3 ?) dans un système de fichiers JFS. Je pensais notamment au fsck working space ou bien entre 2 xad...

La commande jfs_logdump permet de dumper le journal d'une partition JFS. Ce système de fichiers est utilisé principalement sur système AIX mais il est aussi supporté sous Linux. Il présente cependant quelques différences avec la version propriétaire d'IBM, ce dernier ne donnant pas si facilement les specs de JFS. Revenons maintenant à nos moutons.

Lire la suite

Pour connaitre la ligne de commande d'un processus, son environnement, le nom du binaire exécuté et son path, et tout un tas d'autres informations, il existe la structure RTL_USER_PROCESS_PARAMETERS.

Lire la suite

La version 2.08 de TSK est sortie, ce qui est une bonne chose. L'API de cette nouvelle version n'est pas compatible avec la version précédente, ce qui est une moins bonne chose. Plusieurs modules de l'outil Forensics Live Tool de Lexfo utilisent cette API, il y a du boulot en perspective...

Tout le monde en parle. Des blogs, des présentations, des formations y sont consacrés. Pourquoi pas Lexfo ? :)

Lire la suite

Il est enfin arrivé.

J'avais auparavant fait des tests de lecture et d'écriture sur cartes à puces avec d'autres lecteurs. Mais il me fallait un connecteur smartmouse pour facilement lire une carte SIM. Ce n'est certes peut-être pas le meilleur lecteur, mais il répond à mes besoins. Un client m'a justement demandé de récupérer un maximum d'information sur la carte SIM et le mobile d'un de ses anciens employés sur lequel il avait des soupçons.

Par contre, le lecteur a une connectique USB. Un port virtual com (ou VCom) peut être utiliser qui consiste à émuler un port série via un port USB. C'est plutôt utile puisque la plupart des outils utilisent un port série. Sous Linux, il y a une option dans le noyau qui permet de faire du USB2serial. Sous Windows, le driver est fourni avec le lecteur.