Accueil    Formations    Informatique    Cybersécurité    Sécurité défensive    Investigation numérique (Computer Forensics)

Partager cette formation Télécharger au format pdf Ajouter à mes favoris

Objectifs pédagogiques / Compétences visées

  • Mettre en pratique les compétences générales sur l'investigation numérique.

Niveau requis

Avoir des connaissances généralistes en programmation, réseau et système.

Public concerné

Développeurs, pentesters et consultants en informatique.

Programme

Jour 1

Introduction

  • Qu'est-ce que le Forensic ?
  • Qu'est-ce que le Forensic numérique ?
  • Les cas d'utilisation du Forensic dans une organisation
  • Forensic et réponse à incident
  • Obligations légales et limitations
  • CERT (Computer Emergency Response Team) / CSIRT (Computer Security Incident Response Team)

Méthodologie

  • Méthodologie d'investigation légale
  • Audit préalable
  • Enregistrements des preuves (chain of custody)
  • Collecte des preuves
  • Matériels d'investigation
  • Logiciels d'investigation
  • Protection de la collecte
  • Calculs des empreintes de fichiers
  • Rédaction du rapport

Investigation numérique "live"

  • Méthodologie live Forensic
  • Pourquoi le live ?
  • Qu'est-il possible de faire ?
  • Présentation de la suite Sysinternals

Investigation réseau

  • Enregistrement et surveillance
  • Les différents types de données
  • Acquisition des preuves et sondes
  • Rappel des bases du réseau
  • Présentation des outils connus
  • Identifier une erreur de type ARP (Adress Resolution Protocol) Storm
  • Identifier une attaque DHCP (Dynamic Host Configuration Protocol) Starvation
  • Identifier une attaque ARP Spoofing
  • Identifier un scan réseau
  • Identifier une exfiltration de données
  • Identifier un téléchargement via Torrent
Exemple de travaux pratiques (à titre indicatif)
  • Trouver des attaques de types ARP Spoofing

Jour 2

Forensic Windows

  • Analyse des systèmes de fichiers
    • FAT (File Allocation Table) / exFAT (Extended File Allocation Table) (court)
    • NTFS (New Technology File System)
    • Timeline (MFT)
  • Artefacts Système
    • EVTX (Windows XML Event Log)
    • Analyse base de registre
    • Analyse VSC (Volume Shadow Copies)
    • Autres (Jumplist, prefetch, AMcache)
  • Artefacts applicatifs
  • Navigateurs
  • Messageries
  • Skype / Onedrive / Dropbox
Exemple de travaux pratiques (à titre indicatif)
  • Trouver une intrusion via une attaque par Spear Phishing

Jour 3

Analyse simple de malwares

  • Les menaces et leurs mécanismes
    • Etat des lieux, démarche et outils (file, nm, readelf...)
    • Mettre en place un environnement de test
    • Sandbox
    • Analyse simple avec Strace, Ltrace et GDB (GNU Debugger)
    • Mécanismes de persistance
    • Techniques d'évasion
  • Analyse mémoire sous Windows
    • Principe
    • Volatility

Forensic Linux

  • Analyse de la mémoire vive
  • Volatility avancé (ajout de plug-in)
  • Analyse des principaux artefacts
  • Retracer la création d'un profil
  • Monter une partition MBR (Master Boot Record) et GUID (Globally Unique Identifier)
  • EXT / SWAP
Exemple de travaux pratiques (à titre indicatif)
  • Analyser un simple Malwares

Jour 4

  • Création de la timeline et exploitation des metadatas (STK et Python)
  • Analyse des logs systèmes et applications : historique, logins et droits

Investigation Web

  • Analyse de logs (déclinaison top 10 OWASP)
  • Analyse de base de données
  • Scripting Python (RegEx)
  • Désobfuscation
  • Cas d'usage (analyse d'une backdoor PHP)
Exemple de travaux pratiques (à titre indicatif)
  • Détecter une attaque SQLI (SQL Injection)

Jour 5

Android

  • Présentation d'Android (historique et architecture)
  • Installation d'un lab (ADB, genymotion...)
  • Dump mémoire
  • Analyse des logs, base de données et navigateurs
  • Description des valises UFED (Universal Forensic Extraction Device)
  • Principe de fonctionnement
  • Différentes sauvegardes réalisables
  • Analyses via UFED Physical Analyzer
  • Scripting avec Python

iPhone

  • Présentation iOS et architecture
  • Acquisition logique
  • Acquisition physique
  • Jailbreak
  • Analyse des différents artefacts iOS

Certification (en option)

  • Prévoir l'achat de la certification en supplément
  • L'examen (en français) sera passé le dernier jour, à l'issue de la formation et s'effectuera en ligne
  • Il s'agit d'un QCM dont la durée moyenne est d'1h30 et dont le score obtenu attestera d'un niveau de compétence
  • La certification n'est plus éligible au CPF depuis le 31/12/2021, mais permettra néanmoins de valider vos acquis

Modalités d’évaluation des acquis

  • En cours de formation, par des études de cas ou des travaux pratiques
  • Et, en fin de formation, par un questionnaire d'auto-évaluation ou une certification (M2i ou éditeur)

Partager cette formation Télécharger au format pdf Ajouter à mes favoris

Vous souhaitez suivre cette formation ?

Cette formation est disponible en présentiel ou en classe à distance, avec un programme et une qualité pédagogique identiques.

Choisissez la modalité souhaitée pour vous inscrire :

Votre société a besoin d'une offre personnalisée ? Contactez-nous

Faites-nous part de votre projet de formation, nous sommes là pour vous guider.

Contactez-nous