Dans le précédent billet, nous avons évoqué la commande jfs_logdump et la manière d'avoir d'obtenir un historique des modifications des fichiers sur JFS. Un autre outil dont dispose Lexfo permet cette fois-ci de récupérer les fichiers effacés sur JFS, ce que j'appelle plus spécifiquement: Root D-Tree recovery.

Pour le développement, Lexfo s'est appuyé sur les documents suivants:

• JFS Overview
• JFS Layout
• JFS Log
• Forensics for Advanced UNIX File Systems

En étudiant ces documents, on commence à deviner les techniques pour cacher des données (à la manière de thegrugq sur ext2/ext3 ?) dans un système de fichiers JFS. Je pensais notamment au fsck working space ou bien entre 2 xad...

La commande jfs_logdump permet de dumper le journal d'une partition JFS. Ce système de fichiers est utilisé principalement sur système AIX mais il est aussi supporté sous Linux. Il présente cependant quelques différences avec la version propriétaire d'IBM, ce dernier ne donnant pas si facilement les specs de JFS. Revenons maintenant à nos moutons.

Lire la suite

Pour connaitre la ligne de commande d'un processus, son environnement, le nom du binaire exécuté et son path, et tout un tas d'autres informations, il existe la structure RTL_USER_PROCESS_PARAMETERS.

Lire la suite

La version 2.08 de TSK est sortie, ce qui est une bonne chose. L'API de cette nouvelle version n'est pas compatible avec la version précédente, ce qui est une moins bonne chose. Plusieurs modules de l'outil Forensics Live Tool de Lexfo utilisent cette API, il y a du boulot en perspective...