3 jours
Expertise
Présentiel
Accueil › Formations › Informatique › Cybersécurité › Sécurité défensive › Investigation numérique (Computer Forensics)
Objectifs pédagogiques
- Acquérir des compétences générales sur l'investigation numérique.
Niveau requis
Connaissances généralistes en programmation, réseau et système.
Public concerné
Développeurs, pentesters et consultants en informatique.
Programme
Jour 1
Introduction
- Qu'est-ce que le Forensic ?
- Qu'est-ce que le Forensic numérique ?
- Les cas d'utilisation du Forensic dans une organisation
- Forensic et réponse à incident
- Obligations légales et limitations
- CERT (Computer Emergency Response Team) / CSIRT (Computer Security Incident Response Team)
Méthodologie
- Méthodologie d'investigation légale
- Audit préalable
- Enregistrements des preuves (chain of custody)
- Collecte des preuves
- Matériels d'investigation
- Logiciels d'investigation
- Protection de la collecte
- Calculs des empreintes de fichiers
- Rédaction du rapport
Investigation numérique "live"
- Méthodologie live Forensic
- Pourquoi le live ?
- Qu'est-il possible de faire ?
- Présentation de la suite Sysinternals
Investigation réseau
- Enregistrement et surveillance
- Les différents types de données
- Acquisition des preuves et sondes
- Rappel des bases du réseau
- Présentation des outils connus
- Identifier une erreur de type ARP (Adress Resolution Protocol) Storm
- Identifier une attaque DHCP (Dynamic Host Configuration Protocol) Starvation
- Identifier une attaque ARP Spoofing
- Identifier un scan réseau
- Identifier une exfiltration de données
- Identifier un téléchargement via Torrent
Exemple de travaux pratiques (à titre indicatif)
- Trouver des attaques de types ARP Spoofing
Jour 2
Forensic Windows
- Analyse des systèmes de fichiers
- FAT (File Allocation Table) / exFAT (Extended File Allocation Table) (court)
- NTFS ( New Technology File System)
- Timeline (MFT)
- Artefacts Système
- EVTX (Windows XML Event Log)
- Analyse base de registre
- Analyse VSC (Volume Shadow Copies)
- Autres (Jumplist, prefetch, AMcache)
- Artefacts applicatifs
- Navigateurs
- Messageries
- Skype / Onedrive / Dropbox
Exemple de travaux pratiques (à titre indicatif)
- Trouver une intrusion via une attaque par Spear Phishing
Jour 3
Analyse simple de Malwares
- Les menaces et leurs mécanismes
- Etat des lieux démarche et outils (file, nm, readelf...)
- Mettre en place un environnement de test
- Sandbox
- Analyse simple avec Strace, Ltrace et GDB (GNU Debugger)
- Mécanismes de persistance
- Techniques d'évasion
- Analyse mémoire sous Windows
- Principe
- Volatility
Forensic Linux
- Analyse de la mémoire vive
- Volatility avancé (ajout de plugin)
- Analyse des principaux artefacts
- Retracer la création d'un profil
- Monter une partition MBR (Master Boot Record) et GUID (Globally Unique Identifier)
- EXT / SWAP
Exemple de travaux pratiques (à titre indicatif)
- Analyser un simple Malwares
Jour 4
- Création de la timeline et exploitation des metadatas (STK et Python)
- Analyse des logs systèmes et applications : historique, logins et droits
Investigation Web
- Analyse de logs (déclinaison top 10 OWASP)
- Analyse base de données
- Scripting Python (RegEx)
- Désobfuscation
- Cas d'usage (analyse d'une backdoor PHP)
Exemple de travaux pratiques (à titre indicatif)
- Détecter une attaque SQLI (SQL Injection)
Jour 5
Section 9
- Android
- Présentation d'Android (historique et architecture)
- Installation d'un lab (ADB, genymotion...)
- Dump mémoire
- Analyse des logs, base de données et navigateurs
- Description des valises UFED (Universal Forensic Extraction Device)
- Principe de fonctionnement
- Différentes sauvegardes réalisables
- Analyses via UFED Physical Analyzer
- Scripting avec Python
- Iphone
- Présentation IOS et architecture
- Acquisition logique
- Acquisition physique
- Jailbreak
- Analyse des différents artefacts IOS
Certification (en option)
- Nos tests de validation des compétences font partie intégrante du processus d'apprentissage car ils permettent de développer différents niveaux d'abstractions.
- Solliciter l'apprenant à l'aide de nos QCM, c'est lui permettre d'étayer sa réflexion en mobilisant sa mémoire pour choisir la bonne réponse. Nous sommes bien dans une technique d'ancrage mémoriel.
- L'examen sera passé à la fin de la formation.
Les + de la formation
L'examen de certification (proposé en option) est en français.
