Suite à vos commentaires, nous nous devons d'apporter quelques précisions... En effet, les sites ne sont pas très explicites à l'heure actuelle mais nous allons prochainement rectifier le tir en sortant une nouvelle mouture plus claire et plus détaillée.
Tout d'abord, concernant la licence, c'est bel et bien une licence GPLv2.
Concernant le mail pour le téléchargement, il n'est pas obligatoire, et si vous le renseignez, vous recevrez des news sur les releases et autres informations autour du projet. La prochaine version du site sera plus claire à ce niveau là.
Maintenant quelques précisions au niveau du framework. L'objectif est de fournir un environnement modulaire destiné à la recherche de traces suspicieuses disséminées sur un ou plusieurs fichiers émanant aussi bien de la copie de supports numériques (disques durs, smartphones, RAM) que de la capture de paquets réseaux. C'est une sorte de Metasploit destiné à l'expertise technico-légale.
Par exemple, dans le cas d'un "dump" de disque dur, vous allez pouvoir appliquer un module prenant en charge les partitions. Celui-ci va créer des fichiers (Nodes) au sein du système de fichiers virtuels (VFS) du framework. Ces fichiers correspondent aux différentes partitions qui auront été retrouvées (ainsi que les espaces non alloués où peuvent se cacher des données). A partir de ces derniers, il est possible d'appliquer de nouveaux modules comme par exemple le système de fichiers FAT qui créera à son tour des nouveaux fichiers (fonctionnalité de "stackable VFS") qui génèrera l'arborescence classique (telle que montée sous Linux ou Windows) mais également les fichiers effacés, le "slack space", etc.
Au fur et à mesure, il est donc possible, sans jamais avoir à extraire, d'appliquer des modules qui vont reconstruire des volumes, des systèmes de fichiers, les processus d'un "dump" de RAM (fonctionnalité basée sur l'intégration du framework open source d'analyse de RAM Volatility).
En plus de ces modules, d'autres permettent d'analyser différentes informations, comme les metadonnées contenues dans une image (EXIF), générer une "timeline" représentant les temps de créations, d'accès, de modifications (MAC times), etc. Vous trouverez également un visualisateur (et non éditeur) hexadécimal.
Une fonctionnalité de carving (balayage du "dump" à la recherche d'entêtes connues: JPEG, DOC, AVI, ...) est également proposée pour récupérer les données en s'abstrayant du système de fichiers sous-jacent.
Pour résumer, le framework peut-être utilisé pour un cas de récupération de données mais également pour analyser plus en profondeur le contenu d'un media à la recherche de traces suspicieuses (attaques d'un serveur, fraudes numériques, ...)
Pour l'interaction avec le framework, deux interfaces sont fournies: ligne de commandes et interface graphique.
Côté développement, deux langages sont utilisés: C++ et Python. L'API est principalement développée en C++ par soucis de performance. L'utilisation du Python est présente dans les IHM ainsi que certains modules. L'avantage du Python est de permettre de développer rapidement, mais également de scripter à chaud dans le framework.
La prochaine release sera l'occasion d'apporter de nouvelles fonctionnalités tant sur les modules que sur l'API mais également de proposer un peu plus de documentation et d'exemples d'utilisation.
En espérant que ces quelques précisions vous seront utiles, n'hésitez pas à passer sur notre channel IRC ou à nous envoyer un mail pour de plus amples informations.
[^] # Re: Et ça fait quoi ?
Posté par fba . En réponse à la dépêche Le prix de l'innovation des assises de la sécurité est attribué à un logiciel libre. Évalué à 10.
Suite à vos commentaires, nous nous devons d'apporter quelques précisions... En effet, les sites ne sont pas très explicites à l'heure actuelle mais nous allons prochainement rectifier le tir en sortant une nouvelle mouture plus claire et plus détaillée.
Tout d'abord, concernant la licence, c'est bel et bien une licence GPLv2.
Concernant le mail pour le téléchargement, il n'est pas obligatoire, et si vous le renseignez, vous recevrez des news sur les releases et autres informations autour du projet. La prochaine version du site sera plus claire à ce niveau là.
Maintenant quelques précisions au niveau du framework. L'objectif est de fournir un environnement modulaire destiné à la recherche de traces suspicieuses disséminées sur un ou plusieurs fichiers émanant aussi bien de la copie de supports numériques (disques durs, smartphones, RAM) que de la capture de paquets réseaux. C'est une sorte de Metasploit destiné à l'expertise technico-légale.
Par exemple, dans le cas d'un "dump" de disque dur, vous allez pouvoir appliquer un module prenant en charge les partitions. Celui-ci va créer des fichiers (Nodes) au sein du système de fichiers virtuels (VFS) du framework. Ces fichiers correspondent aux différentes partitions qui auront été retrouvées (ainsi que les espaces non alloués où peuvent se cacher des données). A partir de ces derniers, il est possible d'appliquer de nouveaux modules comme par exemple le système de fichiers FAT qui créera à son tour des nouveaux fichiers (fonctionnalité de "stackable VFS") qui génèrera l'arborescence classique (telle que montée sous Linux ou Windows) mais également les fichiers effacés, le "slack space", etc.
Au fur et à mesure, il est donc possible, sans jamais avoir à extraire, d'appliquer des modules qui vont reconstruire des volumes, des systèmes de fichiers, les processus d'un "dump" de RAM (fonctionnalité basée sur l'intégration du framework open source d'analyse de RAM Volatility).
En plus de ces modules, d'autres permettent d'analyser différentes informations, comme les metadonnées contenues dans une image (EXIF), générer une "timeline" représentant les temps de créations, d'accès, de modifications (MAC times), etc. Vous trouverez également un visualisateur (et non éditeur) hexadécimal.
Une fonctionnalité de carving (balayage du "dump" à la recherche d'entêtes connues: JPEG, DOC, AVI, ...) est également proposée pour récupérer les données en s'abstrayant du système de fichiers sous-jacent.
Pour résumer, le framework peut-être utilisé pour un cas de récupération de données mais également pour analyser plus en profondeur le contenu d'un media à la recherche de traces suspicieuses (attaques d'un serveur, fraudes numériques, ...)
Pour l'interaction avec le framework, deux interfaces sont fournies: ligne de commandes et interface graphique.
Côté développement, deux langages sont utilisés: C++ et Python. L'API est principalement développée en C++ par soucis de performance. L'utilisation du Python est présente dans les IHM ainsi que certains modules. L'avantage du Python est de permettre de développer rapidement, mais également de scripter à chaud dans le framework.
La prochaine release sera l'occasion d'apporter de nouvelles fonctionnalités tant sur les modules que sur l'API mais également de proposer un peu plus de documentation et d'exemples d'utilisation.
En espérant que ces quelques précisions vous seront utiles, n'hésitez pas à passer sur notre channel IRC ou à nous envoyer un mail pour de plus amples informations.