Formation Sécurité défensive Investigation numérique (Computer Forensics)

Partager cette formation Télécharger au format pdf Ajouter à mes favoris

Objectifs pédagogiques

• Acquérir des compétences générales sur l'investigation numérique.

Niveau requis

Connaissances généralistes en programmation, réseau et système.

Public concerné

Développeurs, pentesters et consultants en informatique.

Programme

Jour 1

Introduction

• Qu'est-ce que le Forensic ?
• Qu'est-ce que le Forensic numérique ?
• Les cas d'utilisation du Forensic dans une organisation
• Forensic et réponse à incident
• Obligations légales et limitations
• CERT (Computer Emergency Response Team) / CSIRT (Computer Security Incident Response Team)

Méthodologie

• Méthodologie d'investigation légale
• Audit préalable
• Enregistrements des preuves (chain of custody)
• Collecte des preuves
• Matériels d'investigation
• Logiciels d'investigation
• Protection de la collecte
• Calculs des empreintes de fichiers
• Rédaction du rapport

Investigation numérique "live"

• Méthodologie live Forensic
• Pourquoi le live ?
• Qu'est-il possible de faire ?
• Présentation de la suite Sysinternals

Investigation réseau

• Enregistrement et surveillance
• Les différents types de données
• Acquisition des preuves et sondes
• Rappel des bases du réseau
• Présentation des outils connus
• Identifier une erreur de type ARP (Adress Resolution Protocol) Storm
• Identifier une attaque DHCP (Dynamic Host Configuration Protocol) Starvation
• Identifier une attaque ARP Spoofing
• Identifier un scan réseau
• Identifier une exfiltration de données
• Identifier un téléchargement via Torrent

Exemple de travaux pratiques (à titre indicatif)

• Trouver des attaques de types ARP Spoofing

Jour 2

Forensic Windows

• Analyse des systèmes de fichiers
• FAT (File Allocation Table) / exFAT (Extended File Allocation Table) (court)
• NTFS ( New Technology File System)
• Timeline (MFT)
• Artefacts Système
• EVTX (Windows XML Event Log)
• Analyse base de registre
• Analyse VSC (Volume Shadow Copies)
• Autres (Jumplist, prefetch, AMcache)
• Artefacts applicatifs
• Navigateurs
• Messageries
• Skype / Onedrive / Dropbox

Exemple de travaux pratiques (à titre indicatif)

• Trouver une intrusion via une attaque par Spear Phishing

Jour 3

Analyse simple de Malwares

• Les menaces et leurs mécanismes
• Etat des lieux démarche et outils (file, nm, readelf...)
• Mettre en place un environnement de test
• Sandbox
• Analyse simple avec Strace, Ltrace et GDB (GNU Debugger)
• Mécanismes de persistance
• Techniques d'évasion
• Analyse mémoire sous Windows
• Principe
• Volatility

Forensic Linux

• Analyse de la mémoire vive
• Volatility avancé (ajout de plugin)
• Analyse des principaux artefacts
• Retracer la création d'un profil
• Monter une partition MBR (Master Boot Record) et GUID (Globally Unique Identifier)
• EXT / SWAP

Exemple de travaux pratiques (à titre indicatif)

• Analyser un simple Malwares

Jour 4

• Création de la timeline et exploitation des metadatas (STK et Python)
• Analyse des logs systèmes et applications : historique, logins et droits

Investigation Web

• Analyse de logs (déclinaison top 10 OWASP)
• Analyse base de données
• Scripting Python (RegEx)
• Désobfuscation
• Cas d'usage (analyse d'une backdoor PHP)

Exemple de travaux pratiques (à titre indicatif)

• Détecter une attaque SQLI (SQL Injection)

Jour 5

Section 9

• Android
• Présentation d'Android (historique et architecture)
• Installation d'un lab (ADB, genymotion...)
• Dump mémoire
• Analyse des logs, base de données et navigateurs
• Description des valises UFED (Universal Forensic Extraction Device)
• Principe de fonctionnement
• Différentes sauvegardes réalisables
• Analyses via UFED Physical Analyzer
• Scripting avec Python
• Iphone
• Présentation IOS et architecture
• Acquisition logique
• Acquisition physique
• Jailbreak
• Analyse des différents artefacts IOS

Certification (en option)

• Nos tests de validation des compétences font partie intégrante du processus d'apprentissage car ils permettent de développer différents niveaux d'abstractions.
• Solliciter l'apprenant à l'aide de nos QCM, c'est lui permettre d'étayer sa réflexion en mobilisant sa mémoire pour choisir la bonne réponse. Nous sommes bien dans une technique d'ancrage mémoriel.
• L'examen sera passé à la fin de la formation.

Les + de la formation

L'examen de certification (proposé en option) est en français.

Partager cette formation Télécharger au format pdf Ajouter à mes favoris