Full download test bank at ebookmeta.

com

Mastering Python Forensics master the art of

digital forensics and analysis with Python 1st
Edition Michael Spreitzenbarth Johann Uhrmann
For dowload this book click LINK or Button below

https://ebookmeta.com/product/mastering-python-
forensics-master-the-art-of-digital-forensics-and-
analysis-with-python-1st-edition-michael-
spreitzenbarth-johann-uhrmann/
OR CLICK BUTTON

DOWLOAD EBOOK

Download More ebooks from https://ebookmeta.com

More products digital (pdf, epub, mobi) instant
download maybe you interests ...

Unleashing the Art of Digital Forensics 1st Edition

Rohit Tanwar

https://ebookmeta.com/product/unleashing-the-art-of-digital-
forensics-1st-edition-rohit-tanwar/

Windows registry forensics advanced digital forensic

analysis of the Windows registry Second Edition Carvey

https://ebookmeta.com/product/windows-registry-forensics-
advanced-digital-forensic-analysis-of-the-windows-registry-
second-edition-carvey/

Artificial Intelligence and Blockchain in Digital

Forensics River Publishers Series in Digital Security
and Forensics 1st Edition P. Karthikeyan (Editor)

https://ebookmeta.com/product/artificial-intelligence-and-
blockchain-in-digital-forensics-river-publishers-series-in-
digital-security-and-forensics-1st-edition-p-karthikeyan-editor/

The Art of Reinforcement Learning: Fundamentals,

Mathematics, and Implementations with Python 1st
Edition Michael Hu

https://ebookmeta.com/product/the-art-of-reinforcement-learning-
fundamentals-mathematics-and-implementations-with-python-1st-
edition-michael-hu-2/
The Art of Reinforcement Learning: Fundamentals,
Mathematics, and Implementations with Python 1st
Edition Michael Hu

https://ebookmeta.com/product/the-art-of-reinforcement-learning-
fundamentals-mathematics-and-implementations-with-python-1st-
edition-michael-hu/

Digital Forensics Investigation and Response 4th

Edition Chuck Easttom

https://ebookmeta.com/product/digital-forensics-investigation-
and-response-4th-edition-chuck-easttom/

Digital Forensics Investigation and Response 4th

Edition Chuck Easttom

https://ebookmeta.com/product/digital-forensics-investigation-
and-response-4th-edition-chuck-easttom-2/

Digital Forensics Investigation and Response 4th

Edition Easttom Chuck

https://ebookmeta.com/product/digital-forensics-investigation-
and-response-4th-edition-easttom-chuck/

Digital Forensics and Internet of Things Impact and

Challenges 1st Edition Anita Gehlot

https://ebookmeta.com/product/digital-forensics-and-internet-of-
things-impact-and-challenges-1st-edition-anita-gehlot/
Table of Contents
Mastering Python Forensics
Credits
About the Authors
About the Reviewers
www.PacktPub.com
Support files, eBooks, discount offers, and more
Why subscribe?
Free access for Packt account holders
Preface
What this book covers
What you need for this book
Who this book is for
Conventions
Reader feedback
Customer support
Downloading the example code
Errata
Piracy
Questions
1. Setting Up the Lab and Introduction to Python ctypes
Setting up the Lab
Ubuntu
Python virtual environment (virtualenv)
Introduction to Python ctypes
Working with Dynamic Link Libraries
C data types
Defining Unions and Structures
Summary
2. Forensic Algorithms
Algorithms
MD5
SHA256
SSDEEP
 Supporting the chain of custody
Creating hash sums of full disk images
Creating hash sums of directory trees
Real-world scenarios
Mobile Malware
NSRLquery
Downloading and installing nsrlsvr
Writing a client for nsrlsvr in Python
Summary
3. Using Python for Windows and Linux Forensics
Analyzing the Windows Event Log
The Windows Event Log
Interesting Events
Parsing the Event Log for IOC
The python-evtx parser
The plaso and log2timeline tools
Analyzing the Windows Registry
Windows Registry Structure
Parsing the Registry for IOC
Connected USB Devices
User histories
Startup programs
System Information
Shim Cache Parser
Implementing Linux specific checks
Checking the integrity of local user credentials
Analyzing file meta information
Understanding inode
Reading basic file metadata with Python
Evaluating POSIX ACLs with Python
Reading file capabilities with Python
Clustering file information
Creating histograms
Advanced histogram techniques
Summary
4. Using Python for Network Forensics
Using Dshell during an investigation
 Using Scapy during an investigation
Summary
5. Using Python for Virtualization Forensics
Considering virtualization as a new attack surface
Virtualization as an additional layer of abstraction
Creation of rogue machines
Cloning of systems
Searching for misuse of virtual resources
Detecting rogue network interfaces
Detecting direct hardware access
Using virtualization as a source of evidence
Creating forensic copies of RAM content
Using snapshots as disk images
Capturing network traffic
Summary
6. Using Python for Mobile Forensics
The investigative model for smartphones
Android
Manual Examination
Automated Examination with the help of ADEL
Idea behind the system
Implementation and system workflow
Working with ADEL
Movement profiles
Apple iOS
Getting the Keychain from a jailbroken iDevice
Manual Examination with libimobiledevice
Summary
7. Using Python for Memory Forensics
Understanding Volatility basics
Using Volatility on Android
LiME and the recovery image
Volatility for Android
Reconstructing data for Android
Call history
Keyboard cache
Using Volatility on Linux
 Memory acquisition
Volatility for Linux
Reconstructing data for Linux
Analyzing processes and modules
Analyzing networking information
Malware hunting with the help of YARA
Summary
Where to go from here
Index
Mastering Python Forensics
Mastering Python Forensics
Copyright © 2015 Packt Publishing All rights reserved. No part of this
book may be reproduced, stored in a retrieval system, or transmitted in
any form or by any means, without the prior written permission of the
publisher, except in the case of brief quotations embedded in critical
articles or reviews.

Every effort has been made in the preparation of this book to ensure the
accuracy of the information presented. However, the information
contained in this book is sold without warranty, either express or implied.
Neither the authors, nor Packt Publishing, and its dealers and distributors
will be held liable for any damages caused or alleged to be caused
directly or indirectly by this book.

Packt Publishing has endeavored to provide trademark information about

all of the companies and products mentioned in this book by the
appropriate use of capitals. However, Packt Publishing cannot guarantee
the accuracy of this information.

First published: October 2015

Production reference: 1261015

Published by Packt Publishing Ltd.

Livery Place

35 Livery Street Birmingham B3 2PB, UK.

ISBN 978-1-78398-804-4

www.packtpub.com
Credits
Authors

Dr. Michael Spreitzenbarth

Dr. Johann Uhrmann

Reviewers

Richard Marsden

Puneet Narula

Yves Vandermeer

Commissioning Editor

Kartikey Pandey

Acquisition Editor

Sonali Vernekar

Content Development Editor

Shweta Pant

Technical Editor

Pranil Pathare

Copy Editor

Vibha Shukla

Project Coordinator

Shipra Chawhan
Proofreader

Safis Editing

Indexer

Mariammal Chettiyar

Production Coordinator

Arvindkumar Gupta

Cover Work

Arvindkumar Gupta
About the Authors
Dr. Michael Spreitzenbarth holds a degree of doctor of engineering in IT
security from the University of Erlangen-Nuremberg and is a CISSP as
well as a GMOB. He has been an IT security consultant at a worldwide
operating CERT for more than three years and has worked as a
freelancer in the field of mobile phone forensics, malware analysis, and
IT security consultancy for more than six years. Since the last four years,
he has been giving talks and lectures in the fields of forensics and mobile
security at various universities and in the private sector.

I would like to thank everyone who has encouraged me while writing

this book, especially my wife for her great support. I would also like to
thank all the authors of the used open source tools— without your
help, this book wouldn't have been possible.

Dr. Johann Uhrmann holds a degree in computer science from the

University of Applied Sciences Landshut and a doctor of engineering
from the University of the German Federal Armed Forces. He has more
than ten years of experience in software development, which includes
working for start-ups, institutional research, and corporate environment.
Johann has several years of experience in incident handling and IT
governance, focusing on Linux and Cloud environments.

First of all, I would like to thank my wife, Daniela, for her moral
support and willingness to give up on some family time while I was
writing. I also would like to thank my coauthor and colleague, Dr.
Michael Spreitzenbarth, for talking me into writing this book and
handling a great deal of the organizational overhead of such a
project. Furthermore, the great people working on all the open source
software projects that we used and mentioned in this book deserve
credit. You are the guys who keep the IT world spinning.
About the Reviewers
Richard Marsden has over twenty years of professional experience in
software development. After starting in the fields of geophysics and oil
exploration, he has spent the last twelve years running the Winwaed
Software Technology LLC, an independent software vendor. Winwaed
specializes in geospatial tools and applications, which include web
applications, and operates the http://www.mapping-tools.com website for
tools and add-ins for geospatial products, such as Caliper's Maptitude
and Microsoft's MapPoint.

Richard was also a technical reviewer for Python Geospatial

Development, and Python Geospatial Analysis Essentials, both written by
Erik Westra, Packt Publishing.

Puneet Narula is currently working as PPC Data Analyst with

Hostelworld.com Ltd (http://www.hostelworld.com/), Dublin, Ireland,
where he analyzes massive clickstream data from direct and affiliate
sources and provides insight to the digital marketing team. He uses
RapidMiner, R, and Python for the exploratory and predictive analysis.
His areas of expertise are programming in Python and R, machine
learning, data analysis and Tableau.

He started his career in banking and finance and then moved to the ever
growing domain of data and analytics.

He earned MSc in computing (data analytics) from Dublin Institute of

Technology, Dublin, Ireland. He has reviewed the books: Python Data
Analysis, by Ivan Idris, Packt Publishing and Python Geospatial Analysis
Essentials, by Erik Westra, Packt Publishing.

Yves Vandermeer is a police officer working for the Belgian Federal

Police. He has been involved in major investigations since 1997, where
he contributed to recovering digital evidence. Owning a MSc in computer
forensics, Yves is also a trainer on several topics such as filesystems and
network forensics for several law enforcement agencies.

Chairing the European Cybercrime Training and Education Group,

Chairing the European Cybercrime Training and Education Group,
E.C.T.E.G., since 2013, Yves supports the creation of training materials
that are focused on the understanding of the concepts applied in practical
exercises.

Using his experience, he developed forensic software tools for law

enforcement and contributed to several advisory groups related to IT
crime and IT forensics.
www.PacktPub.com
Support files, eBooks, discount offers, and more
For support files and downloads related to your book, please visit
www.PacktPub.com.

Did you know that Packt offers eBook versions of every book published,
with PDF and ePub files available? You can upgrade to the eBook
version at www.PacktPub.com and as a print book customer, you are
entitled to a discount on the eBook copy. Get in touch with us at
<[email protected]> for more details.

At www.PacktPub.com, you can also read a collection of free technical

articles, sign up for a range of free newsletters and receive exclusive
discounts and offers on Packt books and eBooks.

https://www2.packtpub.com/books/subscription/packtlib

Do you need instant solutions to your IT questions? PacktLib is Packt's

online digital book library. Here, you can search, access, and read
Packt's entire library of books.

Why subscribe?
Fully searchable across every book published by Packt
Copy and paste, print, and bookmark content
On demand and accessible via a web browser

Free access for Packt account holders

If you have an account with Packt at www.PacktPub.com, you can use
this to access PacktLib today and view 9 entirely free books. Simply use
your login credentials for immediate access.
Preface
Today, information technology is a part of almost everything that
surrounds us. These are the systems that we wear and that support us in
building and running cities, companies, our personal online shopping
tours, and our friendships. These systems are attractive to use—and
abuse. Consequently, all criminal fields such as theft, fraud, blackmailing,
and so on expanded to the IT. Nowadays, this is a multi-billion, criminal,
global shadow industry.

Can a single person spot traces of criminal or suspicious activity

conducted by a multi-billion, criminal, global shadow industry? Well,
sometimes you can. To analyze the modern crime, you do not need
magnifying glasses and lifting fingerprints off wine bottles. Instead, we
will see how to apply your Python skills to get a close look at the most
promising spots on a file system and take digital fingerprints from the
traces left behind by hackers.

As authors, we believe in the strength of examples over dusty theory.

This is why we provide samples for forensic tooling and scripts, which are
short enough to be understood by the average Python programmer, yet
usable tools and building blocks for real-world IT forensics.

Are you ready to turn suspicion into hard facts?

What this book covers
Chapter 1, Setting Up the Lab and Introduction to Python ctypes, covers
how to set up your environment to follow the examples that are provided
in this book. We will take a look at the various Python modules that
support our forensic analyses. With ctypes, we provide the means to go
beyond Python modules and leverage the capabilities of native system
libraries.

Chapter 2, Forensic Algorithms, provides you with the digital equivalent

of taking fingerprints. Just like in the case of classic fingerprints, we will
show you how to compare the digital fingerprints with a huge registry of
the known good and bad samples. This will support you in focusing your
analysis and providing a proof of forensical soundness.

Chapter 3, Using Python for Windows and Linux Forensics, is the first
step on your journey to understanding digital evidence. We will provide
examples to detect signs of compromise on Windows and Linux systems.
We will conclude the chapter with an example on how to use machine
learning algorithms in the forensic analysis.

Chapter 4, Using Python for Network Forensics, is all about capturing

and analyzing network traffic. With the provided tools, you can search
and analyze the network traffic for signs of exfiltration or signature of
malware communication.

Chapter 5, Using Python for Virtualization Forensics, explains how

modern virtualization concepts can be used by the attacker and forensic
analyst. Consequently, we will show how to find traces of malicious
behavior on the hypervisor level and utilize the virtualization layer as a
reliable source of forensic data.

Chapter 6, Using Python for Mobile Forensics, will give you an insight on
how to retrieve and analyze forensic data from mobile devices. The
examples will include analyzing Android devices as well as Apple iOS
devices.
Chapter 7, Using Python for Memory Forensics, demonstrates how to
retrieve memory snapshots and analyze these RAM images forensically
with Linux and Android. With the help of tools such as LiME and Volatility,
we will demonstrate how to extract information from the system memory.
What you need for this book
All you need for this book is a Linux workstation with a Python 2.7
environment and a working Internet connection. Chapter 1, Setting Up
the Lab and Introduction to Python ctypes, will guide you through the
installation of the additional Python modules and tools. All of our used
tools are freely available from the Internet. The source code of our
samples is available from Packt Publishing.

To follow the examples of Chapter 5, Using Python for Virtualization

Forensics, you may want to set up a virtualization environment with
VMware vSphere. The required software is available from VMware as
time-limited trial version without any functional constraints.

While not strictly required, we recommend trying some of the examples of

Chapter 6, Using Python for Mobile Forensics, on discarded mobile
devices. For your first experiments, please refrain from using personal or
business phones that are actually in use.
Who this book is for
This book is for IT administrators, IT operations, and analysts who want
to gain profound skills in the collection and analysis of digital evidence. If
you are already a forensic expert, this book will help you to expand your
knowledge in new areas such as virtualization or mobile devices.

To get the most out of this book, you should have decent skills in Python
and understand at least some inner workings of your forensic targets. For
example, some file system details.
Conventions
In this book, you will find a number of text styles that distinguish between
different kinds of information. Here are some examples of these styles
and an explanation of their meaning.

Code words in text, database table names, folder names, filenames, file
extensions, pathnames, dummy URLs, user input, and Twitter handles
are shown as follows: "Note that in the case of Windows, msvcrt is the
MS standard C library containing most of the standard C functions and
uses the cdecl calling convention (on Linux systems, the similar library
would be libc.so.6)."

A block of code is set as follows:

def multi_hash(filename):
"""Calculates the md5 and sha256 hashes
of the specified file and returns a list
containing the hash sums as hex strings."""

When we wish to draw your attention to a particular part of a code block,

the relevant lines or items are set in bold:

<Event
xmlns="http://schemas.microsoft.com/win/2004/08/events
/event"><System><Provider Name="Microsoft-Windows-
Security-Auditing" Guid="54849625-5478-4994-a5ba-
3e3b0328c30d"></Provider>
<EventID Qualifiers="">4724</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13824</Task>

Any command-line input or output is written as follows:

user@lab:~$ virtualenv labenv

New python executable in labenv/bin/python
Installing setuptools, pip...done.
New terms and important words are shown in bold. Words that you see
on the screen, for example, in menus or dialog boxes, appear in the text
like this: "When asked to Select System Logs, ensure that all log types
are selected."

Note
Warnings or important notes appear in a box like this.

Tip
Tips and tricks appear like this.
Reader feedback
Feedback from our readers is always welcome. Let us know what you
think about this book—what you liked or disliked. Reader feedback is
important for us as it helps us develop titles that you will really get the
most out of.

To send us general feedback, simply e-mail <[email protected]>,

and mention the book's title in the subject of your message.

If there is a topic that you have expertise in and you are interested in
either writing or contributing to a book, see our author guide at
www.packtpub.com/authors.
Customer support
Now that you are the proud owner of a Packt book, we have a number of
things to help you to get the most from your purchase.

Downloading the example code

You can download the example code files from your account at
http://www.packtpub.com for all the Packt Publishing books you have
purchased. If you purchased this book elsewhere, you can visit
http://www.packtpub.com/support and register to have the files emailed
directly to you.

Errata
Although we have taken every care to ensure the accuracy of our
content, mistakes do happen. If you find a mistake in one of our books—
maybe a mistake in the text or the code—we would be grateful if you
could report this to us. By doing so, you can save other readers from
frustration and help us improve subsequent versions of this book. If you
find any errata, please report them by visiting
http://www.packtpub.com/submit-errata, selecting your book, clicking on
the Errata Submission Form link, and entering the details of your errata.
Once your errata are verified, your submission will be accepted and the
errata will be uploaded to our website or added to any list of existing
errata under the Errata section of that title.

To view the previously submitted errata, go to

https://www.packtpub.com/books/content/support and enter the name of
the book in the search field. The required information will appear under
the Errata section.

Piracy
Piracy of copyrighted material on the Internet is an ongoing problem
across all media. At Packt, we take the protection of our copyright and
across all media. At Packt, we take the protection of our copyright and
licenses very seriously. If you come across any illegal copies of our
works in any form on the Internet, please provide us with the location
address or website name immediately so that we can pursue a remedy.

Please contact us at <[email protected]> with a link to the

suspected pirated material.

We appreciate your help in protecting our authors and our ability to bring
you valuable content.

Questions
If you have a problem with any aspect of this book, you can contact us at
<[email protected]>, and we will do our best to address the
problem.
Chapter 1. Setting Up the Lab and
Introduction to Python ctypes
Cyber Security and Digital Forensics are two topics of increasing
importance. Digital forensics especially, is getting more and more
important, not only during law enforcement investigations, but also in the
field of incident response. During all of the previously mentioned
investigations, it's fundamental to get to know the root cause of a security
breach, malfunction of a system, or a crime. Digital forensics plays a
major role in overcoming these challenges.

In this book, we will teach you how to build your own lab and perform
profound digital forensic investigations, which originate from a large
range of platforms and systems, with the help of Python. We will start
with common Windows and Linux desktop machines, then move forward
to cloud and virtualization platforms, and end up with mobile phones. We
will not only show you how to examine the data at rest or in transit, but
also take a deeper look at the volatile memory.

Python provides an excellent development platform to build your own

investigative tools because of its decreased complexity, increased
efficiency, large number of third-party libraries, and it's also easy to read
and write. During the journey of reading this book, you will not only learn
how to use the most common Python libraries and extensions to analyze
the evidence, but also how to write your own scripts and helper tools to
work faster on the cases or incidents with a huge amount of evidence
that has to be analyzed.

Let's begin our journey of mastering Python forensics by setting up our

lab environment, followed by a brief introduction of the Python ctypes.

If you have already worked with Python ctypes and have a working lab
environment, feel free to skip the first chapter and start directly with one
of the other chapters. After the first chapter, the other chapters are fairly
independent of each other and can be read in any order.
Setting up the Lab
As a base for our scripts and investigations, we need a comprehensive
and powerful lab environment that is able to handle a large number of
different file types and structures as well as connections to mobile
devices. To achieve this goal, we will use the latest Ubuntu LTS version
14.04.2 and install it in a virtual machine (VM). Within the following
sections, we will explain the setup of the VM and introduce Python
virtualenv, which we will use to establish our working environment.

Ubuntu
To work in a similar lab environment, we suggest you to download a copy
of the latest Ubuntu LTS Desktop Distribution from
http://www.ubuntu.com/download/desktop/, preferably the 32-bit version.
The distribution provides a simple-to-use UI and already has the Python
2.7.6 environment installed and preconfigured. Throughout the book, we
will use Python 2.7.x and not the newer 3.x versions. Several examples
and case studies in this book will rely on the tools or libraries that are
already a part of the Ubuntu distribution. When a chapter or section of the
book requires a third-party package or library, we will provide the
additional information on how to install it in the virtualenv (the setup of
this environment will be explained in the next section) or on Ubuntu in
general.

For better performance of the system, we recommend that the virtual

machine that is used for the lab has at least 4 GB of volatile memory and
about 40 GB of storage.
 Figure 1: The Atom editor

To write your first Python script, you can use a simple editor such as vi or
a powerful but cluttered IDE such as eclipse. As a really powerful
alternative, we would suggest you to use atom, a very clean but highly
customizable editor that can be freely downloaded from https://atom.io/.

Python virtual environment (virtualenv)

According to the official Python documentation, Virtual Environment is a
tool to keep the dependencies required by different projects in separate
places by creating virtual Python environments for them. It solves the
"Project X depends on version 1.x, but Project Y needs 4.x" dilemma and
keeps your global site-packages directory clean and manageable.

This is also what we will use in the following chapters to keep a common
environment for all the readers of the book and not run into any
compatibility issues. First of all, we have to install the virtualenv
package. This is done by the following command:

user@lab:~$ pip install virtualenv

We will now create a folder in the users' home directory for our virtual
Python environment. This directory will contain the executable Python
files and a copy of the pip library, which can be used to install other
packages in the environment. The name of the virtual environment (in our
case, it is called labenv) can be of your choice. Our virtual lab
environment can be created by executing the following command:

user@lab:~$ virtualenv labenv

New python executable in labenv/bin/python
Installing setuptools, pip...done.

To start working with the new lab environment, it first needs to be

activated. This can be done through:

user@lab:~$ source labenv/bin/activate

(labenv)user@lab:~$

Now, you can see that the command prompt starts with the name of the
virtual environment that we activated. From now on, any package that
you install using pip will be placed in the labenv folder, isolated from the
global Python installation in the underlying Ubuntu.

Throughout the book, we will use this virtual python environment and
install new packages and libraries in it from time to time. So, every time
you try to recap a shown example remember or challenge to change into
the labenv environment before running your scripts.

If you are done working in the virtual environment for the moment and
you want to return to your "normal" Python environment, you can
deactivate the virtual environment by executing the following command:

(labenv)user@lab:~$ deactivate
user@lab:~$

This puts you back in the system's default Python interpreter with all its
installed libraries and dependencies.

If you are using more than one virtual or physical machine for the
investigations, the virtual environments can help you to keep your
libraries and packages synced with all these workplaces. In order to
ensure that your environments are consistent, it's a good idea to "freeze"
the current state of environment packages. To do this, just run:

(labenv)user@lab:~$ pip freeze > requirenments.txt

This will create a requirements.txt file, which contains a simple list of all
the packages in the current environment and their respective versions. If
you want to now install the same packages using the same version on a
different machine, just copy the requirements.txt file to the desired
machine, create the labenv environment as described earlier and
execute the following command:

(labenv)user@lab:~$ pip install -r requirements.txt

Now, you will have consistent Python environments on all the machines
and don't need to worry about different library versions or other
dependencies.

After we have created the Ubuntu virtual machine with our dedicated lab
environment, we are nearly ready to start our first forensic analysis. But
before that, we need more knowledge of the helpful Python libraries and
backgrounds. Therefore, we will start with an introduction to the Python
ctypes in the following section.
Introduction to Python ctypes
According to the official Python documentation, ctypes is a foreign
function library that provides C compatible data types and allows calling
functions in DLLs or shared libraries. A foreign function library means that
the Python code can call C functions using only Python, without requiring
special or custom-made extensions.

This module is one of the most powerful libraries available to the Python
developer. The ctypes library enables you to not only call functions in
dynamically linked libraries (as described earlier), but can also be used
for low-level memory manipulation. It is important that you understand the
basics of how to use the ctypes library as it will be used for many
examples and real-world cases throughout the book.

In the following sections, we will introduce some basic features of Python

ctypes and how to use them.

Working with Dynamic Link Libraries

Python ctypes export the cdll and on Windows windll or respectively
oledll objects, to load the requested dynamic link libraries. A
dynamically linked library is a compiled binary that is linked at runtime to
the executable main process. On Windows platforms, these binaries are
called Dynamic Link Libraries (DLL) and on Linux, they are called
shared objects (SO). You can load these linked libraries by accessing
them as the attributes of the cdll, windll or oledll objects. Now, we will
demonstrate a very brief example for Windows and Linux to get the
current time directly out of the time function in libc (this library defines
the system calls and other basic facilities such as open, printf, or exit).

Note that in the case of Windows, msvcrt is the MS standard C library

containing most of the standard C functions and uses the cdecl calling
convention (on Linux systems, the similar library would be libc.so.6):

C:\Users\Admin>python
 >>> from ctypes import *
>>> libc = cdll.msvcrt
>>> print libc.time(None)
1428180920

Windows appends the usual .dll file suffix automatically. On Linux, it is

required to specify the filename, including the extension, to load the
chosen library. Either the LoadLibrary() method of the DLL loaders
should be used or you should load the library by creating an instance of
CDLL by calling the constructor, as shown in the following code:

(labenv)user@lab:~$ python

>>> from ctypes import *

>>> libc = CDLL("libc.so.6")
>>> print libc.time(None)
1428180920

As shown in these two examples, it is very easy to be able to call to a

dynamic library and use a function that is exported. You will be using this
technique many times throughout the book, so it is important that you
understand how it works.

C data types
When looking at the two examples from the earlier section in detail, you
can see that we use None as one of the parameters for a dynamically
linked C library. This is possible because None, integers, longs, byte
strings, and unicode strings are the native Python objects that can be
directly used as the parameters in these function calls. None is passed as
a C, NULL pointer, byte strings, and unicode strings are passed as
pointers to the memory block that contains their data (char * or wchar_t
*). Python integers and Python longs are passed as the platform's
default C int type, their value is masked to fit into the C type. A complete
overview of the Python types and their corresponding ctype types can be
seen in Table 1:
ctypes type C type

c_bool _Bool
(https://docs.python.org/2/library/ctypes.html#ctypes.c_bool)

c_char char
(https://docs.python.org/2/library/ctypes.html#ctypes.c_char)

c_wchar wchar_t
(https://docs.python.org/2/library/ctypes.html#ctypes.c_wchar)

c_byte char
(https://docs.python.org/2/library/ctypes.html#ctypes.c_byte)

c_ubyte unsigned
(https://docs.python.org/2/library/ctypes.html#ctypes.c_ubyte) char

c_short short
(https://docs.python.org/2/library/ctypes.html#ctypes.c_short)

c_ushort unsigned
(https://docs.python.org/2/library/ctypes.html#ctypes.c_ushort) short

c_int (https://docs.python.org/2/library/ctypes.html#ctypes.c_int) int

c_uint (https://docs.python.org/2/library/ctypes.html#ctypes.c_uint) unsigned
int

c_long long
(https://docs.python.org/2/library/ctypes.html#ctypes.c_long)

c_ulong unsigned
(https://docs.python.org/2/library/ctypes.html#ctypes.c_ulong) long

c_longlong __int64 or
(https://docs.python.org/2/library/ctypes.html#ctypes.c_longlong) long long

c_ulonglong unsigned
(https://docs.python.org/2/library/ctypes.html#ctypes.c_ulonglong) __int64 or
unsigned
long long

c_float float
(https://docs.python.org/2/library/ctypes.html#ctypes.c_float)

c_double double
(https://docs.python.org/2/library/ctypes.html#ctypes.c_double)

c_longdouble long
(https://docs.python.org/2/library/ctypes.html#ctypes.c_longdouble) double

c_char_p char *
(https://docs.python.org/2/library/ctypes.html#ctypes.c_char_p) (NUL
terminated)
 terminated)

c_wchar_p wchar_t *
(NUL
(https://docs.python.org/2/library/ctypes.html#ctypes.c_wchar_p) terminated)

c_void_p void *
(https://docs.python.org/2/library/ctypes.html#ctypes.c_void_p)

Table 1: Fundamental Data Types

This table is very helpful because all the Python types except integers,
strings, and unicode strings have to be wrapped in their corresponding
ctypes type so that they can be converted to the required C data type in
the linked library and not throw the TypeError exceptions, as shown in the
following code:

(labenv)user@lab:~$ python

>>> from ctypes import *

>>> libc = CDLL("libc.so.6")
>>> printf = libc.printf

>>> printf("An int %d, a double %f\n", 4711, 47.11)

Traceback (most recent call last):
File "<stdin>", line 1, in <module>
ctypes.ArgumentError: argument 3: <type
'exceptions.TypeError'>: Don't know how to convert
parameter 3

>>> printf("An int %d, a double %f\n", 4711,

c_double(47.11))
An int 4711, a double 47.110000

Defining Unions and Structures

Unions and Structures are important data types because they are
frequently used throughout the libc on Linux and also in the Microsoft
Win32 API.

Unions are simply a group of variables, which can be of the same or

different data types, where all of its members share the same memory
location. By storing variables in this way, unions allow you to specify the
same value in different types. For the upcoming example, we will change
from the interactive Python shell to the atom editor on our Ubuntu lab
environment. You just need to open atom editor, type in the following
code, and save it under the name new_evidence.py:

from ctypes import

class case(Union):
fields = [
("evidence_int", c_int),
("evidence_long", c_long),
("evidence_char", c_char 4)
]

value = raw_input("Enter new evidence number:")

new_evidence = case(int(value))
print "Evidence number as a int: %i" %
new_evidence.evidence_int
print "Evidence number as a long: %ld" %
new_evidence.evidence_long
print "Evidence number as a char: %s" %
new_evidence.evidence_char

If you assign the evidence union's member variable evidence_int a value

of 42, you can then use the evidence_char member to display the
character representation of that number, as shown in the following
example:

(labenv)user@lab:~$ python new_evidence.py

Enter new evidence number:42

Evidence number as a long: 42

Evidence number as a int: 42
Evidence number as a char: *
As you can see in the preceding example, by assigning the union a single
value, you get three different representations of that value. For int and
long, the displayed output is obvious but for the evidence_char variable, it
could be a bit confusing. In this case, '*' is the ASCII character with the
value of the equivalent of decimal 42. The evidence_char member
variable is a good example of how to define an array in ctypes. In ctypes,
an array is defined by multiplying a type by the number of elements that
you want to allocate in the array. In this example, a four-element
character array was defined for the member variable evidence_char.

A structure is very similar to unions, but the members do not share the
same memory location. You can access any of the member variables in
the structure using dot notation, such as case.name. This would access
the name variable contained in the case structure. The following is a very
brief example of how to create a structure (or struct, as they are often
called) with three members: name, number, and investigator_name so that
all can be accessed by the dot notation:

from ctypes import

class case(Structure):
fields = [
("name", c_char 16),
("number", c_int),
("investigator_name", c_char * 8)
]

Tip
Downloading the example code

You can download the example code files from your account at
http://www.packtpub.com for all the Packt Publishing books you have
purchased. If you purchased this book elsewhere, you can visit
http://www.packtpub.com/support and register to have the files e-
mailed directly to you.
Summary
In the first chapter, we created our lab environment: a virtual machine
running Ubuntu 14.04.2 LTS. This step is really important as you can
now create snapshots before working on real evidence and are able to
roll back to a clean machine state after finishing the investigation. This
can be helpful, especially, when working with compromised system
backups, where you want to be sure that your system is clean when
working on a different case afterwards.

In the second part of this chapter, we demonstrated how to work with

Python's virtual environments (virtualenv) that will be used and
extended throughout the book.

In the last section of this chapter, we introduced the Python ctypes to

you, which is a very powerful library available to the Python developer.
With those ctypes, you are not only able to call functions in the
dynamically linked libraries (available Microsoft Win32 APIs or common
Linux shared objects), but they can also be used for low-level memory
manipulation.

After completing this chapter, you will have a basic environment created
to be used for the rest of the book, and you will also understand the
fundamentals of Python ctypes that will be helpful in some of the
following chapters.
Chapter 2. Forensic Algorithms
Forensic algorithms are the building blocks for a forensic investigator.
Independent from any specific implementation, these algorithms describe
the details of the forensic procedures. In the first section of this chapter,
we will introduce the different algorithms that are used in forensic
investigations, including their advantages and disadvantages.

Algorithms
In this section, we describe the main differences between MD5, SHA256,
and SSDEEP—the most common algorithms used in the forensic
investigations. We will explain the use cases as well as the limitations
and threats behind these three algorithms. This should help you
understand why using SHA256 is better than using MD5 and in which
cases SSDEEP can help you in the investigation.

Before we dive into the different hash functions, we will give a short
summary of what a cryptographic hash function is.

A hash function is a function that maps an arbitrarily large amount of

data to a value of a fixed length. The hash function ensures that the
same input always results in the same output, called the hash sum.
Consequently, a hash sum is a characteristic of a specific piece of data.

A cryptographic hash function is a hash function that is considered

practically impossible to invert. This means that it is not possible to create
the input data while having a pre-defined hash sum value by any other
means than trying all the possible input values, that is brute force.
Therefore, this class of algorithms is known as one-way cryptographic
algorithm.

The ideal cryptographic hash function has four main properties, as

follows:

1. It must be easy to compute the hash value for any given input.
 2. It must be infeasible to generate the original input from its hash.
3. It must be infeasible to modify the input without changing the hash.
4. It must be infeasible to find two different inputs with the same hash
(collision-resistant).

In the ideal case, if you create a hash of the given input and change only
one bit of this input, the newly calculated hash will look totally different,
as follows:

user@lab:~$ echo -n This is a test message | md5sum

fafb00f5732ab283681e124bf8747ed1

user@lab:~$ echo -n This is A test message | md5sum

aafb38820e0a3788eb41e9f5805e088e

If all of the previously mentioned properties are fulfilled, the algorithm is a

cryptographically correct hash function and can be used to compare, for
example, files with each other to prove that they haven't been tampered
with during analysis or by an attacker.

MD5
The MD5 message-digest algorithm was the most commonly used (and
is still a widely used) cryptographic hash function that produces a 128-bit
(16-byte) hash value, typically expressed in the text format as a 32-digit
hexadecimal number (as shown in the previous example). This message
digest has been utilized in a wide variety of cryptographic applications
and is commonly used to verify data integrity in forensic investigations.
This algorithm was designed by Ronald Rivest in 1991 and has been
heavily used since then.

A big advantage of MD5 is that it calculates faster and produces small

hashes. The small hashes are a major point of interest when you need to
store thousands of these hashes in a forensic investigation. Just imagine
how many files a common PC will have on its hard drive. If you need to
calculate a hash of each of these files and store them in a database, it
would make a huge difference if each of the calculated hash has 16 byte
or 32 byte of size.
Nowadays, the major disadvantage of MD5 is the fact that it is no longer
considered to be collision-resistant. This means that it is possible to
calculate the same hash from two different inputs. Keeping this in mind, it
is not possible anymore to guarantee that a file hasn't been modified just
by comparing its MD5 hash at two different stages of an investigation. At
the moment it is possible to create a collision very fast, (refer to
http://www.win.tue.nl/hashclash/On%20Collisions%20for%20MD5%20-
%20M.M.J.%20Stevens.pdf) but it is still difficult to modify a file in a way,
which is now a malicious version of that benign file, and keep the MD5
hash of the original file.

The very famous cryptographer, Bruce Schneier, once wrote that

(https://www.schneier.com/blog/archives/2008/12/forging_ssl_cer.html):

"We already knew that MD5 is a broken hash function" and that "no
one should be using MD5 anymore".

We would not go that far (especially because a lot of tools and services
still use MD5), but you should try switching to SHA256 or at least double-
check your results with the help of different hash functions in cases
where it is critical. Whenever the chain of custody is crucial, we
recommend using multiple hash algorithms to prove the integrity of your
data.

SHA256
SHA-2 is a set of cryptographic hash functions designed by the NSA
(U.S. National Security Agency) and stands for Secure Hash Algorithm
2nd Generation. It has been published in 2001 by the NIST as a U.S.
federal standard (FIPS). The SHA-2 family consists of several hash
functions with digests (hash values) that are between 224 bits and 512
bits. The cryptographic functions SHA256 and SHA512 are the most
common versions of SHA-2 hash functions computed with 32-bit and 64-
bit words.

Despite the fact that these algorithms calculate slower and that the
calculated hashes are larger in size (compared to MD5), they should be
the preferred algorithms that are used for integrity checks during the
Another random document with
no related content on Scribd:
saints livres qui me parlent quand je veux, m’éclairent, me consolent,
me fortifient, répondent à tous mes besoins. Les quitter me fait
chagrin, les emporter est difficile ; ne pas les quitter est le mieux.
Je lis dans mes loisirs un ouvrage de Leibniz qui m’enchante par
sa catholicité et les bonnes choses pieuses que j’y trouve, comme
ceci sur la confession : « Je regarde un confesseur pieux, grave et
prudent, comme un grand instrument de Dieu pour le salut des
âmes ; car ses conseils servent à diriger nos affections, à nous
éclairer sur nos défauts, à nous faire éviter l’occasion du péché, à
dissiper les doutes, à relever l’esprit abattu, enfin à enlever ou
mitiger toutes les maladies de l’âme ; et si l’on peut à peine trouver
sur la terre quelque chose de plus excellent qu’un ami fidèle, quel
bonheur n’est-ce pas d’en trouver un qui soit obligé par la religion
inviolable d’un sacrement divin à garder la foi et à secourir les
âmes ? »
Ce céleste ami, je l’ai dans M. Bories. Aussi la nouvelle de son
départ m’afflige profondément. Je suis triste d’une tristesse qui fait
pleurer l’âme. Je ne dirais pas cela ailleurs, on le prendrait mal,
peut-être on ne me comprendrait pas. On ne sait pas dans le monde
ce que c’est qu’un confesseur, cet homme ami de l’âme, son
confident le plus intime, son médecin, son maître, sa lumière ; cet
homme qui nous lie et qui nous délie, qui nous donne la paix, qui
nous ouvre le ciel, à qui nous parlons à genoux en l’appelant,
comme Dieu, notre père : la foi le fait véritablement Dieu et père.
Quand je suis à ses pieds, je ne vois autre chose en lui que Jésus
écoutant Madeleine et lui pardonnant beaucoup parce qu’elle a
beaucoup aimé. La confession n’est qu’une expansion du repentir
dans l’amour [14] .
[14] Le lecteur retrouvera le passage qui précède
reproduit textuellement dans le cahier suivant, page 108.
Nous n’avons pas dû supprimer cette répétition : Que
prouve-t-elle, sinon l’importance particulière que Mlle de
Guérin attachait à ces pensées et peut-être la secrète
satisfaction qu’elle aura éprouvée, sans le savoir, en
 réussissant à les exprimer d’une manière si nette et si
ferme ?

Le 5 [mai, à Gaillac]. — On ne parlait hier au soir que d’une jeune

fille qui est morte au sortir du bal où elle avait passé la nuit. Pauvre
âme de jeune fille, où es-tu ? J’ai trop d’occupations pour écouter
mes pensées. Qu’elles rentrent.

Le 9. — Et moi aussi je sors d’une soirée dansante, la première

que j’aie vue et où j’aie pris part ; mais mon cœur n’était pas en train,
et s’en allait au repos. Aussi ai-je mal dansé, faute de goût et
d’habitude. J’entendais rire à mes dépens, et cela ne m’amusait
pas ; mais j’amusais les rieuses, ce qui revient au but de nous prêter
au plaisir. Je l’ai fait de la meilleure volonté du monde ; mais cette
complaisance m’ennuierait bientôt, comme tout ce qui se fait dans le
monde où je me trouve étrangère. Sur un canapé, je pense à la
pelouse ou au marronnier, ou à la garenne, où l’on est bien mieux.

« Oh ! laissez-moi mes rêveries,

Mes beaux vallons, mon ciel si pur,
Mes ruisseaux coulant aux prairies,
Mes bois, mes collines fleuries
Et mon fleuve aux ondes d’azur.

« Laissez ma vie, au bord de l’onde,

Comme elle, suivre son chemin,
Inconnue aux clameurs du monde,
Toujours pure, mais peu profonde
Et sans peine du lendemain.

« Laissez-la couler, lente et douce,

Entre les fleurs, près des coteaux,
Jouant avec un brin de mousse,
Avec une herbe qu’elle pousse,
Avec le saule aux longs rameaux.
« Mes heures, à tout vent bercées,
S’en vont se tenant par la main ;
Sur leurs pas légers, mes pensées
Éclosent, belles et pressées,
Comme l’herbe au bord du chemin.

« On dit que la vie est amère,

O mon Dieu ! ce n’est pas pour moi :
La poésie et la prière,
Comme une sœur, comme une mère
La bercent pure devant toi.

« Enfant, elle poursuit un rêve,

Une espérance, un souvenir,
Comme un papillon sur la grève,
Et chaque beau jour qui se lève
Lui semble tout son avenir.

« Les jours lui tombent goutte à goutte,

Mais doux comme un rayon de miel ;
Il n’en est point qu’elle redoute.
O mon Dieu ! c’est ainsi, sans doute,
Que vivent les anges au ciel.

« La mort doit nous être donnée

Douce après ces jours de bonheur.
Comme une fleur demi-fanée
Au soir de sa longue journée,
On penche la tête et l’on meurt.

« Et si l’on croit, si l’on espère,

Qu’est-ce mourir ? Fermer les yeux,
Se recueillir pour la prière,
Livrer l’âme à l’ange son frère,
Dormir pour s’éveiller aux cieux. »

JUSTIN MAURICE.
 C’est la plus douce chose, la plus de mon goût que j’aie trouvée
depuis que je suis ici. Aussi je m’en empare. S’il fait beau, je partirai
ce soir. Cette idée m’enchante, je verrai papa, Mimi : la douce chose
qu’un retour !

[Sans date.] M’y voici à ce cher Cayla, et depuis plusieurs jours,

sans te le dire. C’est que j’avais mis mon cahier sous un tapis en le
sortant de mon porte-manteau, et qu’il était là depuis. En tripotant,
ma main s’est posée dessus ; il s’est ouvert, et je continue l’écriture.
Ce fut un beau moment que le revoir de la famille, de papa, de Mimi,
d’Érembert, qui m’embrassaient si tendrement et me faisaient sentir
si profond tout le bonheur d’être aimée.
Ce fut un beau jour hier ; il nous vint quatre lettres et deux amis,
M. Bories et l’abbé F…, le frère de Cécile. Je ne sais qui des deux
nous fit le plus de plaisir et fut plus aimable, l’un par l’esprit, l’autre
par le cœur. Nous avons causé beaucoup, nous avons ri, bu à nos
santés, et, pour fin, nous sommes mis à jouer au passe-l’âne,
comme des enfants, en nous trichant l’un l’autre. Point de sérieux du
tout, c’était un jour de détente où l’âme se met à l’aise en conservant
son pli ; c’était gaieté de prêtre et d’amis chrétiens.
Comme nous étions au dessert, deux lettres nous sont venues,
l’une de Lili, l’autre de ce pauvre Philibert [15] , toujours plus
malheureux. Sa lettre fend le cœur ; j’en ai fait la lecture à table, et
j’ai vu des larmes dans les yeux de nos bons curés. M. Bories a
rappelé que, le matin de son départ, Philibert courut à son lit lui faire
ses adieux et lui dit : « Je pars, monsieur le curé ; c’est peut-être
pour toujours que je quitte ma patrie ; dites, je vous prie, la messe à
mon intention aujourd’hui. » Il la dit, je me souviens, et nous y
assistâmes, ma tante et nous, autant pleurant que priant. Ce bon
cousin me dit des amitiés charmantes, des choses qui vont au cœur
et ne peuvent passer sur les lèvres. Je les ai supprimées en lisant la
lettre. Il parle de ma poésie à ma pauvre amie du Val que papa lui
avait envoyée. Ainsi ce souvenir à traversé les mers, et l’on sait au
bout du monde que je vous aimais, ma pauvre Marie ; mais l’on ne
sait pas que je vous pleure à présent et que vous nous avez été si
vite enlevée. On le saura aussi, car je l’ai écrite cette mort à nos
amis de l’Ile de France, et je vous saurai regrettée par les cœurs les
plus dignes de vous donner des regrets.
[15] M. Philibert de Roquefeuil.

Philibert nous envoie deux éventails et des graines de plantes

marines, cueillies par lui et sa femme dans la baie du Tombeau. Qu’il
me tarde de les avoir, de les semer, de les voir naître, et pousser, et
fleurir ! Cela me vient en retour d’une feuille de rose que je lui
envoyai le printemps passé. Je tenais la rose à la main, une feuille
tomba sur la lettre, et je la pliai dedans ; je la laissai aller, me disant
qu’elle s’était détachée pour aller porter à ce pauvre exilé un peu
des parfums du pays. Et vraiment cela lui a fait un plaisir bien doux.

Le 18. — Qui aurait deviné ce qui vient de m’arriver aujourd’hui ?

J’en suis surprise, occupée, bien aise. Je remercie, et regarde cent
fois ma belle fortune, mes poésies créoles, à moi adressées par un
poëte de l’Ile de France. Demain, j’en parlerai. Il est trop tard à
présent, mais je n’ai pu dormir sans marquer ici cet événement de
ma journée et de ma vie.

Le 19. — Me voici à la fenêtre écoutant un chœur de rossignols

qui chantent dans la Moulinasse d’une façon ravissante. Oh ! le beau
tableau ! Oh ! le beau concert, que je quitte pour aller porter
l’aumône à Annette la boiteuse !

Le 22. — Mimi m’a quittée pour quinze jours ; elle est à ***, et je
la plains au milieu de cette païennerie, elle si sainte et bonne
chrétienne ! Comme me disait Louise une fois, elle me fait l’effet
d’une bonne âme dans l’enfer ; mais nous l’en sortirons dès que le
temps donné aux convenances sera passé. De mon côté, il me
tarde ; je m’ennuie de ma solitude, tant j’ai l’habitude d’être deux.
Papa est aux champs presque tout le jour, Éran à la chasse ; pour
toute compagnie, il me reste Trilby et mes poulets qui font du bruit
comme des lutins ; ils m’occupent sans me désennuyer, parce que
l’ennui est le fond et le centre de mon âme aujourd’hui. Ce que
j’aime le plus est peu capable de me distraire. J’ai voulu lire, écrire,
prier, tout cela n’a duré qu’un moment ; la prière même me lasse.
C’est triste, mon Dieu ! Par bonheur, je me suis souvenue de ce mot
de Fénelon : « Si Dieu vous ennuie, dites-lui qu’il vous ennuie. » Oh !
je lui ai bien dit cette sottise.

Le 23. — Je viens de passer la nuit à t’écrire. Le jour a remplacé

la chandelle, ce n’est pas la peine d’aller au lit. Oh ! si papa le
savait !

Le 24. — Comme elle a passé vite, mon ami, cette nuit passée à
t’écrire ! l’aurore a paru que je me croyais à minuit ; il était trois
heures pourtant, et j’avais vu passer bien des étoiles, car de ma
table je vois le ciel, et de temps en temps je le regarde et le
consulte ; et il me semble qu’un ange me dicte. D’où me peuvent
venir, en effet, que d’en haut tant de choses tendres, élevées,
douces, vraies, pures, dont mon cœur s’emplit quand je te parle !
Oui, Dieu me les donne, et je te les envoie. Puisse ma lettre te faire
du bien ! elle t’arrivera mardi ; je l’ai faite la nuit pour la faire jeter à la
poste le matin, et gagner un jour. J’étais si pressée de te venir
distraire et fortifier dans cet état de faiblesse et d’ennui où je te vois !
Mais je ne le vois pas, je l’augure d’après tes lettres, et quelques
mots de Félicité. Plût à Dieu que je pusse le voir et savoir ce qui te
tourmente ! alors je saurais sur quoi mettre le baume, tandis que je
le pose au hasard. Oh ! que je voudrais de tes lettres ! Écris-moi,
parle, explique-toi, fais-toi voir, que je sache ce que tu souffres et ce
qui te fait souffrir. Quelquefois je pense que ce n’est rien qu’un peu
de cette humeur noire, que nous avons, et qui rend si triste quand il
s’en répand dans le cœur. Il faut s’en purger au plus tôt, car ce
poison gagne vite et nous ferait fous ou bêtes. On ne désire rien de
beau ni d’élevé. Je sais quelqu’un qui, dans cet état, n’a d’autre
plaisir que de manger, et d’ordinaire c’est une âme qui tient peu aux
sens. Cela fait voir combien toute passion nous bestialise. C’en est
une que la tristesse, et qui consume, hélas ! bien des vies. Je
regarde à peu près comme perdus ceux qu’elle possède. Faut-il
remplir un devoir ? impossible. Ce sont des hommes tristes ; ne leur
demandez rien, ni pour Dieu, ni pour eux-mêmes, que ce que leur
humeur voudra.

Le 27. — Dans ma solitude aujourd’hui, je n’ai rien trouvé de

mieux à faire que de paperasser, de revoir mes vieux souvenirs, mes
écritures, mes pensées de jadis en tout genre. J’en ai vu de bonnes,
c’est-à-dire de raisonnables, de pieuses, d’exagérées, de folles,
comme celle-ci : « Si j’osais, je demanderais à Dieu pourquoi je suis
en ce monde. Qu’y fais-je ? Qu’ai-je à y faire ? je n’en sais rien. Mes
jours s’en vont inutiles, aussi je ne les regrette pas… Si je pouvais
me faire du bien ou en faire à quelqu’un, seulement une minute par
jour ! » Eh ! mon Dieu, rien n’est plus facile, je n’avais qu’à prendre
un verre d’eau et le donner à un pauvre. Voilà comme la tristesse fait
extravaguer et mène à dire : « Pourquoi la vie, puisque la vie
m’ennuie ? Pourquoi des devoirs, puisqu’ils me pèsent ? pourquoi un
cœur ? pourquoi une âme ? » Des pourquoi sans fin ; et on ne peut
rien, on ne veut rien, on se délaisse, on pleure, on est malheureux,
on s’enferme, et le diable qui nous voit seuls, arrive pour nous
distraire avec toutes ses séductions. Puis, quand elles sont
épuisées, le suicide reste encore. Dieu ! quelle fin ! quelle folie ! et
comme elle gagne chaque jour, même dans les campagnes ! Un
jeune paysan de Bleys, riche et aimé de ses parents, s’est tué de
tristesse. Tout l’ennuyait, surtout de vivre. Il était religieux, mais pas
assez pour surmonter une passion. Dieu seul nous donne la force et
le vouloir dans cette lutte terrible, et, tout faible et petit qu’on soit,
avec son aide on tient enfin le géant sous ses genoux ; mais pour
cela, il faut prier, beaucoup prier, comme nous l’a appris Jésus-
Christ, et nous écrier : Notre Père ! Ce cri filial touche le cœur de
Dieu, et nous obtient toujours quelque chose. Mon ami, je voudrais
bien te voir prier comme un bon enfant de Dieu. Que t’en coûterait-
il ? ton âme est naturellement aimante, et la prière, qu’est-ce autre
chose que l’amour, un amour qui se répand de l’âme au dehors,
comme l’eau sort de la fontaine ? tu comprends cela mieux que moi.
M. de La Mennais a dit là-dessus des choses divines qui t’auront
pénétré le cœur, si tu as pu les entendre ; mais, par malheur, il en a
dit d’autres aussi qui, je le crains, auront empêché le bon effet de
celles-là. Quel malheur, encore une fois, quel malheur que tu sois
sous l’influence de ce génie dévoyé ! Pauvre Maurice ! ne pensons
pas à ces choses.
Mimi m’a écrit ; elle est à M***, vieux castel des Villefranche, où
Julie demeure avec sa famille. La visite de Mimi lui fait un plaisir bien
senti et bien exprimé par ses façons empressées et tendres. Je ne
sais plus rien, parce que la voyageuse écrit en arrivant et ne donne
qu’un aperçu.

Le 27. — Je me trompai de date hier, et j’anticipai sur un jour ; je

me ravise, n’allons pas plus vite que le temps qui marche, hélas !
assez vite. Ne voilà-t-il pas déjà la fin du mois, qui finit par un beau
vacarme ? Au moment où j’écris, tonnerre, vents, éclairs,
tremblement du château, torrents de pluie comme un déluge.
J’écoute tout cela de ma fenêtre inondée, et je n’y puis écrire comme
chaque soir. C’est bien dommage, car c’est un charmant pupitre, sur
ce tertre du jardin si vert, si joli, si frais, tout parfumé d’acacias.

Le 28. — Notre ciel d’aujourd’hui est pâle et languissant comme

un beau visage après la fièvre. Cet état de langueur a bien des
charmes, et ce mélange de verdure et de débris, de fleurs qui
s’ouvrent sur des fleurs tombées, d’oiseaux qui chantent et de petits
torrents qui coulent, cet air d’orage et cet air de mai font quelque
chose de chiffonné, de triste, de riant que j’aime. Mais, c’est
l’Ascension aujourd’hui ; laissons la terre et le ciel de la terre,
montons plus haut que notre demeure, et suivons Jésus-Christ où il
est entré. Cette fête est bien belle ; c’est la fête des âmes
détachées, libres, célestes, qui se plaisent, au-delà du visible, où
Dieu les attire.

Le 29. — Jamais orage plus long, il dure encore, depuis trois

jours le tonnerre et la pluie vont leur train. Tous les arbres s’inclinent
sous ce déluge ; c’est pitié de leur voir cet air languissant et défait
dans le beau triomphe de mai. Nous disions cela ce soir, à la fenêtre
de la salle, en voyant les peupliers du Pontet penchant leur tête tout
tristement, comme quelqu’un qui plie sous l’adversité. Je les
plaignais ou peu s’en faut ; il me semble que tout ce qui paraît
souffrir a une âme.

Le 30. — Toujours, toujours la pluie. C’est un temps à faire de la

musique ou de la poésie. Tout le monde bâille en comptant les
heures qui jamais ne finissent. C’est un jour éternel pour papa
surtout qui aime tant le dehors et ses distractions. Le voilà comme
en prison, feuilletant de temps en temps une vieille histoire de
l’Académie de Berlin, porte-sommeil, assoupissante lecture, qui m’a
fait courir dès avoir touché le volume. Juge ! je suis tombée sur la
théologie de l’Être. Vite j’ai fermé, j’ai cru voir un puits, un puits sans
eau ; le vide obscur m’a toujours fait peur. Il y a cependant des
profondeurs qui me plaisent, comme l’Existence de Dieu, par
Fénelon. J’ai encore présente l’impression que j’eus de cette lecture,
qui me fit un plaisir infini, ce qui ne serait pas arrivé si je n’y avais
rien compris. Pour sentir, il faut être touché. Je sentis, donc… Je
raisonne à la Salabert, n’est-ce pas ? Quoi qu’il en soit, cette lecture
me fut bonne ; il me sembla connaître Dieu davantage et par l’esprit
et par le cœur, à la façon de Fénelon. Je voudrais bien avoir ses
œuvres spirituelles, les lettres de piété surtout où Fénelon est si
élevé, si tendre, si aimant. J’ai celles de Bossuet qui font mes
délices, les autres font mon envie. Puisque j’en suis à cela, je veux
te dire toutes mes fantaisies en fait de livres de piété. Depuis
longtemps je me crée une bibliothèque, dont les rayons, hélas ! sont
toujours vides. La voici : d’abord de saint Augustin, la Cité de Dieu,
ses méditations, ses sermons, ses soliloques, et autres ouvrages à
ma portée ; les lettres de saint Jérôme, ses traités d’éducation pour
la petite Marcella ; les lettres aussi de saint Grégoire de Nazianze ;
les poésies de saint Paulin, le Pré spirituel de Jean Mose ; les écrits
de sainte Thérèse, de Louis de Blois, les lettres de saint Bernard, et
son opuscule à sa sœur ; les écrits de sainte Catherine de Gênes,
estimés de Leibniz ; saint François de Sales. Je continuerai plus tard
mon catalogue ; il faut que je dise mon chapelet.

[Sans date.] — Depuis cette pause, il s’est passé plusieurs jours,

plusieurs événements au Cayla, qui m’ont tenue loin de ma
chambrette ; m’y voici pour une minute où tu verras mes quatre
jours, tout ce temps passé sans écrire ; mais non : est-ce la peine de
marquer mon temps ? c’est écrire sur la poussière. Je ne sais
pourquoi je me figure que cela te fera plaisir, ce fatras de choses, de
jours et de papier.
Mimi est arrivée hier avec Élisa, à qui j’ai cédé ma chambrette.
C’est te dire que j’y viens moins, que je lis moins, que je pense
moins. Je suis à Élisa, je vais la joindre à la promenade.

Le 13 juin. — Je retrouve mon cahier abandonné, et j’y mets ce

qui m’est venu aujourd’hui : deux beaux livres, l’Imitation de
Lamennais, et le Guide spirituel de Louis de Blois. Merci à toi,
Maurice, de ce pieux souvenir. Ce nous seront deux reliques pour
l’âme et pour le cœur, et nous prierons pour toi chaque fois que nous
lirons, Mimi son Guide, et moi mon Imitation.

Le 18. — M. le curé sort d’ici et m’a laissé une de tes lettres, qu’il
m’a glissée furtivement dans la main au milieu de tout le monde. Je
lui ai tremblé tout doucement un merci, et, comprenant ce que
c’était, je suis sortie et suis allée te lire à mon aise dans la garenne.
Comme j’allais vite, comme je tremblais, comme je brûlais sur cette
lettre où j’allais te voir enfin ! Je t’ai vu ; mais je ne te connais pas ; tu
ne m’ouvres que la tête : c’est le cœur, c’est l’âme, c’est l’intime, ce
qui fait ta vie, que je croyais voir. Tu ne me montres que ta façon de
penser ; tu me fais monter, et moi je voulais descendre, te connaître
à fond dans tes goûts, tes humeurs, tes principes, en un mot, faire
un tour dans tous les coins et recoins de toi-même. Je ne suis donc
pas contente de ce que tu me dis ; cependant j’y trouve de quoi bénir
Dieu, car je m’attendais à pis. Je te dirai tout cela dans ma lettre, ici
c’est inutile ; mes réflexions seraient de l’histoire ancienne quand tu
les lirais.

Le 19. — Ne suis-je pas malheureuse ? Je voulais écrire une

lettre, je l’ai commencée et n’ai pu continuer, faute d’idées. Ma tête
est vide à présent ; il y a de ces moments où je me trouve à sec, où
mon esprit tarit comme une source, puis il recoule. En attendant
l’aiguade, j’admire ma tourterelle qui chante à plein gosier sous ma
fenêtre.
Je vais t’écrire à la dérobée, et, pour dépister les curieux qui
viennent dans ma chambre, j’aurai deux lettres, une dessus, l’autre
dessous, et dès qu’on viendra je n’aurai qu’à tourner les cartes. Ce
que je te dis ne serait compris de personne, hormis de Mimi qui est
du secret. Papa en aurait de la peine et se tourmenterait sur ton
compte. Mieux vaut le tromper et lui laisser croire que c’est à Louise
que j’écris, comme je viens de le lui dire. C’est que tout de bon je
vais commencer ma double lettre et parler à deux voix. Voyons.
Il passe une noce au chemin de Cordes ; tout à l’heure on
sonnait de ce côté pour un mort ; voilà bien la vie. Je la vois toute
dans mon petit tableau.

Le 12. — Nous avons perdu une de nos pauvres, Annette la

boiteuse, celle qui m’avait si fort baisée pour un raisin que je lui
donnais. La pauvre fille ! j’espère qu’à présent elle prie pour nous
dans le ciel. Elle est morte sans y penser, ou plutôt elle y pensait
tous les jours, mais elle n’a pas vu venir sa dernière heure.
 Le 17. — Jour de deuil. Nous avons perdu ma grand’mère. Ce
matin, papa est venu de bonne heure dans ma chambre, s’est
approché de mon lit et m’a pris la main qu’il a serrée en me disant :
« Lève-toi. » — « Pourquoi ? » Il m’a serré la main encore : « Lève-
toi. » — « Il y a quelque chose, dites ? » — « Ma mère… » J’ai
compris ; je l’avais laissée mourante.

Le 31. — Ce cahier que je laisse et que je reprends, à quoi

servira-t-il si je le continue ? Une pensée me vient. Si je meurs avant
toi, je te le lègue. Ce sera à peu près tout mon héritage ; mais ce
legs de cœur aura bien quelque prix pour toi. Je le veux donc
enrichir, afin que tu dises : « Ma sœur m’a laissé tout ce qu’elle a
pu. » La belle fortune que quelques idées, des larmes, des tristesses
dont se compose presque la vie ! S’il y vient du meilleur, c’est rare, si
rare qu’on s’en enivre, comme je le fais, quand il me vient quelque
chose du ciel ou de ceux que j’aime.
Depuis quinze jours, j’ai eu beaucoup de ces jolis moments.
Toutes mes amies m’ont écrit au sujet de ma grand’mère, et me
disent sur sa mort bien des choses tendres et consolantes ; mais
Dieu seul peut consoler. Le cœur, quand il est triste, n’a pas assez
des secours humains qui plient sous lui, tant il est pesant de
tristesse. Il faut à ce roseau d’autres appuis que des roseaux. Oh !
que Jésus a bien dit : « Venez à moi, vous tous qui pleurez, vous
tous qui êtes accablés. » Ce n’est que là, que dans le sein de Dieu,
qu’on peut bien pleurer, bien se décharger. Que nous sommes
heureux, nous, chrétiens ! Nous n’avons pas de peines que Dieu ne
soulage.

Le 1er août. — Ce soir ma tourterelle est morte, je ne sais de

quoi, car elle chantait encore ces jours-ci. Pauvre petite bête ! voilà
des regrets qu’elle me donne. Je l’aimais, elle était blanche, et
chaque matin c’était la première voix que j’entendais sous ma
fenêtre, tant l’hiver que l’été. Était-ce plainte ou joie ? Je ne sais,
mais ces chants me faisaient plaisir à entendre ; voilà un plaisir de
moins. Ainsi, chaque jour, perdons-nous quelque jouissance. Je
veux mettre ma colombe sous un rosier de la terrasse ; il me semble
qu’elle sera bien là, et que son âme (si âme il y a) reposera
doucement dans ce nid sous les fleurs. Je crois assez à l’âme des
bêtes, et je voudrais même qu’il y eût un petit paradis pour les
bonnes et les douces, comme les tourterelles, les chiens, les
agneaux. Mais que faire des loups et autres méchantes espèces ?
Les damner ? cela m’embarrasse. L’enfer ne punit que l’injustice, et
quelle injustice commet le loup qui mange l’agneau ? Il en a besoin ;
ce besoin, qui ne justifie pas l’homme, justifie la bête, qui n’a pas
reçu de loi supérieure à l’instinct. En suivant son instinct, elle est
bonne ou mauvaise par rapport à nous seulement ; il n’y a pas
vouloir, c’est-à-dire choix, dans les actions animales, et, par
conséquent, ni bien ni mal, ni paradis ni enfer. Je regrette cependant
le paradis, et qu’il n’y ait pas des colombes au ciel. Mon Dieu,
qu’est-ce que je dis là ? aurons-nous besoin de rien d’ici-bas, là-
haut, pour être heureux ?

Le 2. — La pluie et une de tes lettres. Cette lettre était bien

attendue à cause des événements d’ici et de ceux de Paris. Tu avais
appris de la famille un projet de mariage et une mort, et tu devais
m’apprendre ce que c’est que cette machine infernale qui a éclaté,
et ce qui s’en est suivi. Des morts, des calamités, des larmes. Que je
te plains d’être sur ce volcan de Paris !

Le 3. — Rien.

Le 4. — Ce jour-là, je voulais parler de ta naissance, de ma joie

lorsque je l’appris, et comme je m’empressai d’ouvrir ce
portemanteau où papa m’avait dit qu’il te portait. Je voulais dire tout
cela, et bien d’autres choses du baptême et de ta vie ; mais j’ai été
triste, affligée, pleurante, et quand je pleure, je n’écris pas, je prie
seulement, c’est tout ce que je puis faire ; mais voici qu’un peu de
sérénité me vient. Dieu m’est venu, puis des livres, et une lettre de
Louise, trois choses qui me portent bonheur. J’ai commencé toute
triste, et puis j’ai senti presque de la joie et que j’avais Dieu au cœur.
O mon ami ! si tu savais comme l’âme dans l’affliction se console
doucement en Dieu ! que de force elle tire de la puissance divine !
Le livre, je voulais dire l’ouvrage qui me fait tant de plaisir, c’est
Fénelon que papa m’a acheté. Toute ma vie, j’avais désiré d’avoir
ses lettres spirituelles si douces, si célestes, si propres à tout état, à
toute position d’âme. Je vais les lire et les mettre dans mon cœur,
j’en ferai ma consolation, mon soutien à présent que M. Bories va
me manquer, et que mon âme se trouve comme orpheline. J’avais
demandé quelque chose à Dieu, et ces lettres ne sont venues ;
aussi, je les regarde comme un don du ciel. Merci à Dieu et à mon
père.

Le 20. — Je viens de suspendre à mon cou une médaille de la

sainte Vierge, que Louise m’a envoyée pour préservatif du choléra.
C’est la médaille qui a fait tant de miracles, dit-on. Ce n’est pas
article de foi, mais cela ne fait pas de mal d’y croire. Je crois donc à
la sainte médaille comme à l’image sacrée d’une mère, dont la vue
peut faire tant de bien. J’aurai toute ma vie sur mon cœur cette
sainte relique de la Vierge et de mon amie, et y aurai foi si le choléra
vient, mal pour lequel il n’est pas de remède humain ; ayons donc
recours au miraculeux. On ne compte pas assez sur le ciel, et on
tremble. Je ne sais pourquoi, ce choléra qui avance ne me fait rien ;
je n’y pense pas, si ce n’est pour les prières que l’archevêque a
ordonnées. D’où me vient cela ? serait-ce indifférence ? je ne le
voudrais pas ; non, je ne voudrais être insensible à rien, pas même à
la peste. D’où me vient ma sécurité ?

Le 21. — Voilà un ornement de plus à ma chambrette : sainte

Thérèse que j’ai pu enfin faire encadrer ; il me tardait d’avoir cette
belle sainte devant mes yeux, au-dessus de la table où je fais ma
prière, où je lis, où j’écris. Ce me sera une inspiration pour bien prier,
pour bien aimer, pour bien souffrir. J’élèverai vers elle mon cœur et
mes yeux dans mes prières, dans mes tristesses. Je commence à
présent, et lui dis : « Regardez-moi du ciel, bienheureuse sainte
Thérèse, regardez-moi, à genoux devant votre image, contemplant
les traits d’une amante de Jésus avec un grand désir de les graver
en moi. Obtenez-moi la sainte ressemblance, obtenez-moi quelque
chose de vous ; faites-moi passer votre regard pour chercher Dieu,
votre bouche pour le prier, votre cœur pour l’aimer. Que j’obtienne
votre force dans l’adversité, votre douceur dans les souffrances,
votre constance dans les tentations. » Sainte Thérèse souffrit vingt
ans des dégoûts dans la prière sans se rebuter. C’est ce qui
m’étonne le plus de ses triomphes. Je suis loin de cette constance ;
mais je me plais à me souvenir que, quand je perdis ma mère, j’allai,
comme sainte Thérèse, me jeter aux pieds de la sainte Vierge et la
prier de me prendre pour sa fille. Ce fut devant la chapelle du
Rosaire, dans l’église de Saint-Pierre, à Gaillac. J’avais treize ans.

Le 23. — Sans le songe que j’ai fait cette nuit, je n’écrirais pas ;
mais je t’ai vu, je t’ai embrassé, je t’ai parlé, et tout cela, quoique
erreur, il faut que j’en parle, parce que mon cœur en est touché. J’ai
tant de regret de ne pas te voir, à présent que les absents
reviennent ! Raymond est arrivé. Qui sait s’il m’apporte de tes
lettres ? Je serais bien contente d’avoir quelque chose de particulier,
comme tu l’as fait par des occasions semblables. C’est notre signe
de vie et de tendresse que cette chère écriture ; écrivons-nous donc,
écris-moi. Je viens d’envoyer une lettre de neuf pages à Louise. Ce
serait long, infini pour tout autre ; mais, entre nous, il n’y en a jamais
assez. Le cœur, quand il aime, est intarissable. Je voudrais bien
t’écrire de la sorte. Voilà un nuage qui passe, si sombre que je vois à
peine sur mon papier blanc. Cela me fait souvenir de tant d’idées
noires qui passent ainsi sur l’âme parfois.
 Le 24. — La matinée a commencé agréablement par une lettre
d’Auguste qui me parle beaucoup de toi ; il t’aime, ce bon cousin,
cela se voit. Je voudrais bien que le joli projet de voyage
s’accomplît, et que moi je fusse du voyage. Oh ! venir te voir à
Paris !… mais non, ce serait trop joli pour ce monde, n’y pensons
pas. J’ai presque l’idée que nous ne devons nous revoir qu’en
l’autre : voilà le choléra ; sans doute il viendra ici. Je l’attends et
dispose mon âme de mon mieux, afin de ne pas mourir à
l’improviste, seule chose à craindre, car le malheur n’est pas de
quitter la vie. Je ne dis pas ceci dans le sens des dégoûtés de vivre :
il y a de saints désirs de la mort qui viennent à l’âme chrétienne.
Encore un nuage qui me force de quitter. Le nuage amenait un
déluge, le tonnerre, le vent, tout le vacarme d’un orage. Dans ce
temps, je courais de çà, de là, pensant à mes poulets ; je chauffais
une chemise pour ce petit garçon qui nous est arrivé noyé ; à
présent tout est calme et dans son cours. L’extraordinaire ici dure
peu. Mon cousin Fontenilles nous est venu voir ; il couchera dans la
chambrette, mon cher réduit qui sert à tout : excellent emploi des
choses humaines, toutes à tous. Mais, mon cahier, va dedans : ceci
n’est pas pour le public, c’est de l’intime, c’est de l’âme, C’EST POUR
UN.

Le 25. — Saint-Louis aujourd’hui : grande fête en France

pendant longtemps, et qui ne se fait plus qu’au ciel, maintenant que
les rois s’en vont. Saint Louis, priez pour la France et pour vos
descendants ; obtenez-leur le royaume des cieux !

Le 26. — Comme la grâce est admirable ! Je l’admire aujourd’hui

dans saint Genès qu’elle fit chrétien comme il jouait sur le théâtre les
mystères du christianisme. Tout à coup Dieu se fit voir à cette âme,
et le comédien fut martyr.
 Le 27. — J’ai l’âme tout émue, toute pénétrée, toute pleine de la
lettre de M. de La Morvonnais que j’ai reçue ce matin ; il me parle de
Marie, d’un autre monde, de ses tristesses, de toi, de la mort, de ces
choses que j’aime tant. Voilà pourquoi ces lettres me causent un
plaisir que je craignais de trop sentir, parce que tout plaisir est à
craindre. Mais tu l’as voulu, et, pour l’amour de toi seulement, j’ai
soutenu cette correspondance qui maintenant aura bien des
charmes, d’abord ceux de la sympathie ; comme tu me l’avais
appris, je trouve à ton ami une trempe d’idées fort semblables aux
miennes pour le religieux et le triste ; son âme pleure et prie souvent
comme la mienne.
Aujourd’hui, il me dit que sa prière est tiède et distraite, et que je
l’aide devant Dieu. Assurément je le ferai, car son âme m’est chère,
et cette âme est souffrante et me porte pitié. Je lui verserai donc le
baume de la prière qui, tout loin que je suis, lui arrivera par le ciel. Je
le crois du moins : admirable foi qui me donne l’espérance de
consoler un affligé ! C’est de ce côté-là encore que cette
correspondance me plaît : faire du bien est si doux ! consoler qui
pleure est divin. Jésus le fit sur la terre, et c’est de lui que je
l’apprends. Oui, mon ami, c’est de la croix que viennent ces pensées
que ton ami trouve si douces, si inénarrablement tendres. Rien n’est
de moi. Je sens mon aridité, mais que Dieu, quand il veut, fait couler
un océan sur ce fond de sable. Il est ainsi de tant d’âmes simples
desquelles sortent d’admirables choses, parce qu’elles sont en
rapport direct avec Dieu, sans science et sans orgueil. Aussi, je
perds le goût des livres ; je me dis : que m’apprennent-ils que je ne
sache un jour au ciel ? que Dieu soit mon maître et mon étude ! Je
fais ainsi et m’en trouve bien ; je lis peu, je sors peu, je me refoule à
l’intérieur. Là se dit, se fait, se sent, se passe bien des choses. Oh !
si tu les voyais ! mais que sert de les faire voir ? Dieu seul doit
pénétrer dans le sanctuaire de l’âme. Mon âme aujourd’hui abonde
de prière et de poésie. J’admire comme ces deux sources coulent
ensemble en moi et en d’autres.
L’aveugle prie et chante en son chemin, le soldat sur le champ de
guerre, le nautonier sur les mers, le poëte sur sa lyre, le prêtre à
l’autel ; l’enfant qui commence à parler, le solitaire dans sa cellule,
les anges au ciel, les saints par toute la terre, tous prient et
chantent ; il n’y a que les morts qui ne chantent pas, qui ne prient
pas : pauvres morts !

Le 28. — Saint-Augustin aujourd’hui : un saint que j’aime tant

parce qu’il a tant aimé. Je porte d’ailleurs son nom, et je l’ai supplié
de me donner aussi un peu de son âme. La belle âme, et comme
elle se peint divinement dans ses Confessions ! A chaque mot de ce
livre, on sent l’amour de Dieu qui vous pénètre goutte à goutte le
cœur, si dur qu’il soit. Que n’ai-je une mémoire à tout retenir ! mais
par malheur je l’ai si fugitive, qu’autant vaudrait ne rien lire ; il n’en
était pas de même jadis. C’est que je décline et que mes facultés
baissent, excepté celle d’aimer. L’amour, c’est l’âme qui ne meurt
pas, qui va croissant, montant comme la flamme. Je tiens une lettre
de Louise, de ma belle amie, de celle qui me dit toujours qu’elle
m’aime. Cette lettre est courte, de trois pages seulement, parce
qu’elle était pressée, toute à sa sœur la comtesse qui venait
d’arriver. C’est dans ses bras que Louise me dit le tendre memento
qui me suffit bien aujourd’hui, C’est l’abbé de Bayne d’Alos qui me
l’a apportée, venant de Rayssac.

Le 29. — Beau ciel, beau soleil, beau jour. C’est de quoi se

réjouir, car le beau temps est rare à présent, et je le sens comme un
bienfait. C’en est bien un, qu’une belle nature, un air pur, un ciel
radieux ! petites images du séjour céleste, et qui font penser à Dieu !
J’irai ce soir à Cahuzac, mon cher pèlerinage. En attendant, je vais
m’occuper de mon âme et voir où elle en est dans ses rapports avec
Dieu depuis huit jours. Cette revue éclaire, instruit et avance
merveilleusement le cœur dans la connaissance de Dieu et de lui-
même. N’y avait-il pas un philosophe qui ordonnait cet exercice trois
fois le jour à ses disciples ? et ses disciples le faisaient. Je le veux
faire aussi à l’école de Jésus pour apprendre à devenir sage, d’une
sagesse chrétienne.
 Le 31. — Je passai la journée d’hier à Cahuzac, et quelques
heures seule dans la maison de notre grand’mère. Je me mis
d’abord à genoux sur un prie-Dieu où elle priait, puis je parcourus sa
chambre, je regardai ses chaises, son fauteuil, ses meubles
dérangés comme quand on déloge ; je vis son lit vide ; je passai
partout où elle avait passé, et je me souvins de ces lignes de
Bossuet : « Dans un moment on passera où j’étais, et l’on ne m’y
trouvera plus. Voilà sa chambre, voilà son lit, diras-tu, et de tout cela
il ne reste plus que mon tombeau où l’on dira que je suis, et je n’y
serai pas. » Oh ! quelle idée de notre néant dans cette absence
même de la tombe, dans la dispersion si prompte de notre poussière
dans les souterrains de la mort ! Demain, je change et vais à
Cahuzac pour des réparations à la maison qui me tiendront
quelques jours. Ce seront des jours uniques, aussi je veux les
marquer et prendre mon journal. Je vais écrire à Antoinette, mon
amie l’ange.
Il y a quelques heures de cela. Voilà que j’ai écrit à Antoinette et
à Irène, et pourtant je n’avais rien, presque rien à leur dire. Ma vie
fournit peu et le Cayla aussi, parce que tout y est tranquille. Mais les
communications du cœur sont douces et je m’y laisse aller aisément.
Cela d’ailleurs me fait du bien et me décharge l’âme du triste. Quand
une eau coule, elle s’en va avec l’écume et se clarifie en chemin.
Mon chemin à moi, c’est Dieu ou un ami, mais Dieu surtout. Là je me
creuse un lit et m’y trouve calme.

Le 1er septembre. — M’y voici à Cahuzac, dans une autre

chambrette, accoudée sur une petite table où j’écris. Il me faut
partout des tables et du papier, parce que partout mes pensées me
suivent et se veulent répandre en un endroit, pour toi, mon ami. J’ai
parfois l’idée que tu y trouveras quelque charme, et cette idée me
sourit et me fait continuer ; sans cela mon cœur resterait fermé bien
souvent, par indolence ou par indifférence pour tout ce qui vient de
moi.
 J’ai quelquefois des joies d’enfant, comme celle de venir pour
quelques jours ici. Tu ne saurais croire combien je suis venue
gaiement prendre possession de cette maison déserte. C’est que là,
vois-tu, je me trouve seule, tout à fait seule, dans un lieu qui prête à
la réflexion. J’entends passer les passants sans me détourner du
tout ; je suis au pied de l’église, j’entends jusqu’à la dernière
vibration de la cloche qui sonne midi ou l’Angelus, et j’écoute cela
comme une harpe. Puis je vais prier quand je veux, me confesser de
même : en voilà assez pour quelques jours de bonheur, d’un
bonheur à moi. Papa me viendra voir cette après-midi. J’ai plaisir à
cette visite, comme si nous étions séparés depuis longtemps.
Le diable m’a tentée tout à l’heure dans un petit cabinet où j’ai
fait trouvaille de romans. Lis-en un mot, me disais-je, voyons celui-ci,
voyons celui-là ; mais les titres m’ont fort déplu. Ce sont des Lettres
galantes d’une religieuse, la Confession générale d’un chevalier
galant et autres histoires de bonne odeur. Fi donc, que j’aille lire
cela ! Je n’en suis plus tentée maintenant et vais seulement changer
ces livres de cabinet ou plutôt les jeter au feu.

Le 22. — Depuis le jour où je revins de Cahuzac, mon confident

dormait dans un coin, et il y dormirait encore, si ce n’était le 22
septembre, jour de Saint-Maurice, jour de ta fête, qui m’a donné un
peu de joie et rouvert le cœur au plaisir d’écrire et de laisser ici un
souvenir. Je me souviens que l’an dernier, à pareil jour, je t’écrivais
aussi et te parlais de ta fête. J’étais contente, je voyais aujourd’hui et
toi, espérant t’embrasser à la Saint-Maurice, et te voilà à cent lieues.
Mon Dieu, que nous comptons mal et qu’il faut compter peu dans la
vie !
M. le curé et sa sœur sont venus faire ta fête et boire à ta santé.
Mais ce qui vaut mieux, c’est que M. le curé s’est souvenu de toi à la
messe et que Françoise a prié pour toi aussi. Que saint Maurice te
protége et te rende fort dans les combats de la vie ! Me rapporteras-
tu son image que je t’ai donnée ?