Formation Investigation numérique Windows (Computer Forensics) – Centre de formation M2i
M2i Formation

Découvrez notre formationInvestigation numérique Windows (Computer Forensics)

Présentiel

3 jours (21 heures) - SEC-INFW

Accueil  ›  Formations Informatique  ›  Cybersécurité  ›  Sécurité défensive  ›  Investigation numérique Windows (Computer Forensics)

Objectifs pédagogiques

  • Réaliser une investigation numérique sur le système d'exploitation Windows.

Niveau requis

Avoir des connaissance sur l'OS Windows, TCP/IP, Linux.

Public concerné

Administrateurs, analystes SOC et ingénieurs sécurité.

Partenaire / éditeur

Paris La Défense09/03/20201 980 € HTDates proposées dans les agences M2iRéserver
Paris La Défense15/06/20201 980 € HTDates proposées dans les agences M2iRéserver
Paris La Défense14/09/20201 980 € HTDates proposées dans les agences M2iRéserver
Paris La Défense07/12/20201 980 € HTDates proposées dans les agences M2iRéserver

Sessions
planifiées
Sessions
ouvertes
Sessions
confirmées
Réserver
le stage

Jour 1

Etat de l'art de l'investigation numérique

  • Introduction à l'investigation numérique
  • Lien entre les différentes disciplines Forensics
  • Méthodologie d'investigation légale (chaîne de custody, rapport et méthode OSCAR)
  • Vocabulaire et taxonomie
  • Les différents OS Windows

Les fondamentaux Windows

  • Fondamentaux Windows
    • Système de fichiers / Arborescence
    • Séquence de boot Windows
    • Base de registre
    • Logs (evtx, log pilotes...)
    • Variables d'environnements
  • Services et les différents accès (services.exe, Powershell)
  • Fondamentaux FAT32
  • Fondamentaux NTFS (New Technology File System)

Exemple de travaux pratiques (à titre indicatif)

  • Analyse d'un disque

Collecte des données

  • Les outils du marché (SleuthKit)
  • Présentation du Framework ATT&CK du MITRE et points d'entrées des cyberattaques
  • Arbres d'attaque
  • Les signes de compromissions (corrélation ATT&CK)
  • Collecte des données physique et virtualisation
  • Présentation du Lab

Exemple de travaux pratiques (à titre indicatif)

  • Collecte de données

Jour 2

Artefacts

  • Différents artefacts Internet
    • Pièces jointes
    • Open / Save MRU
    • Flux ADS Zone.Identifier
    • Téléchargements
    • Historique Skype
    • Navigateurs internet
    • Historique
    • Cache
    • Sessions restaurées
    • Cookies
  • Différents artefacts exécution
    • UserAssist
    • Timeline Windows 10
    • RecentApps
    • Shimcache
    • Jumplist
    • Amcache.hve
    • BAM / DAM
    • Last-Visited MRU
    • Prefetch
  • Différents artefacts fichiers / dossiers
    • Shellbags
    • Fichiers récents
    • Raccourcis (LNK)
    • Documents Office
    • IE / Edge Files
  • Différents artefacts réseau
    • Termes recherchés sur navigateur
    • Cookie
    • Historique
    • SRUM (ressource usage monitor)
    • Log Wi-Fi
  • Différents artefacts comptes utilisateur
    • Dernières connexions
    • Changement de mot de passe
    • Echec / réussite d'authentification
    • Evènement de service (démarrage)
    • Evènement d'authentification
    • Type d'authentification
    • Utilisation du RDP (Remote Desktop Protocol)
  • Différents artefacts USB
    • Nomination des volumes
    • Evènement PnP (Plug et Play)
    • Numéros de série
  • Différents artefacts fichiers supprimés
    • Tools (recurva...)
    • Récupération de la corbeille
    • Thumbcache
    • Thumb.db
    • WordWheelQuery

Exemples de travaux pratiques (à titre indicatif)

  • Recherche d'un spear shiphing
  • Retracer l'exécution d'un programme
  • Découverte d'un reverse shell
  • Analyse eternal blue
  • Première investigation

Jour 3

Techniques avancées

  • VSS (Volume Shadow Copy Service)
  • Carving
  • Anti-Forensic et timestomping
  • Spécificités Active Directory (AD)

Exemple de travaux pratiques (à titre indicatif)

  • Recherche d'artefact sur AD

Introduction à Volatility

  • Données volatiles
  • Analyse d'un dump mémoire
  • Extraction et analyse des process

Exemple de travaux pratiques (à titre indicatif)

  • Recherche d'un malware à l'aide de Volatility

Complétez votre formation