Objectifs pédagogiques / Compétences visées
- Mettre en pratique les compétences générales sur l'investigation numérique.
Niveau requis
Avoir des connaissances généralistes en programmation, réseau et système.
Public concerné
Développeurs, pentesters et consultants en informatique.
Programme
Jour 1
Introduction
- Qu'est-ce que le Forensic ?
- Qu'est-ce que le Forensic numérique ?
- Les cas d'utilisation du Forensic dans une organisation
- Forensic et réponse à incident
- Obligations légales et limitations
- CERT (Computer Emergency Response Team) / CSIRT (Computer Security Incident Response Team)
Méthodologie
- Méthodologie d'investigation légale
- Audit préalable
- Enregistrements des preuves (chain of custody)
- Collecte des preuves
- Matériels d'investigation
- Logiciels d'investigation
- Protection de la collecte
- Calculs des empreintes de fichiers
- Rédaction du rapport
Investigation numérique "live"
- Méthodologie live Forensic
- Pourquoi le live ?
- Qu'est-il possible de faire ?
- Présentation de la suite Sysinternals
Investigation réseau
- Enregistrement et surveillance
- Les différents types de données
- Acquisition des preuves et sondes
- Rappel des bases du réseau
- Présentation des outils connus
- Identifier une erreur de type ARP (Adress Resolution Protocol) Storm
- Identifier une attaque DHCP (Dynamic Host Configuration Protocol) Starvation
- Identifier une attaque ARP Spoofing
- Identifier un scan réseau
- Identifier une exfiltration de données
- Identifier un téléchargement via Torrent
Exemple de travaux pratiques (à titre indicatif)
- Trouver des attaques de types ARP Spoofing
Jour 2
Forensic Windows
- Analyse des systèmes de fichiers
- FAT (File Allocation Table) / exFAT (Extended File Allocation Table) (court)
- NTFS (New Technology File System)
- Timeline (MFT)
- Artefacts Système
- EVTX (Windows XML Event Log)
- Analyse base de registre
- Analyse VSC (Volume Shadow Copies)
- Autres (Jumplist, prefetch, AMcache)
- Artefacts applicatifs
- Navigateurs
- Messageries
- Skype / Onedrive / Dropbox
Exemple de travaux pratiques (à titre indicatif)
- Trouver une intrusion via une attaque par Spear Phishing
Jour 3
Analyse simple de malwares
- Les menaces et leurs mécanismes
- Etat des lieux, démarche et outils (file, nm, readelf...)
- Mettre en place un environnement de test
- Sandbox
- Analyse simple avec Strace, Ltrace et GDB (GNU Debugger)
- Mécanismes de persistance
- Techniques d'évasion
- Analyse mémoire sous Windows
- Principe
- Volatility
Forensic Linux
- Analyse de la mémoire vive
- Volatility avancé (ajout de plug-in)
- Analyse des principaux artefacts
- Retracer la création d'un profil
- Monter une partition MBR (Master Boot Record) et GUID (Globally Unique Identifier)
- EXT / SWAP
Exemple de travaux pratiques (à titre indicatif)
- Analyser un simple Malwares
Jour 4
- Création de la timeline et exploitation des metadatas (STK et Python)
- Analyse des logs systèmes et applications : historique, logins et droits
Investigation Web
- Analyse de logs (déclinaison top 10 OWASP)
- Analyse de base de données
- Scripting Python (RegEx)
- Désobfuscation
- Cas d'usage (analyse d'une backdoor PHP)
Exemple de travaux pratiques (à titre indicatif)
- Détecter une attaque SQLI (SQL Injection)
Jour 5
Android
- Présentation d'Android (historique et architecture)
- Installation d'un lab (ADB, genymotion...)
- Dump mémoire
- Analyse des logs, base de données et navigateurs
- Description des valises UFED (Universal Forensic Extraction Device)
- Principe de fonctionnement
- Différentes sauvegardes réalisables
- Analyses via UFED Physical Analyzer
- Scripting avec Python
iPhone
- Présentation iOS et architecture
- Acquisition logique
- Acquisition physique
- Jailbreak
- Analyse des différents artefacts iOS
Certification (en option)
- Prévoir l'achat de la certification en supplément
- L'examen (en français) sera passé le dernier jour, à l'issue de la formation et s'effectuera en ligne
- Il s'agit d'un QCM dont la durée moyenne est d'1h30 et dont le score obtenu attestera d'un niveau de compétence
- La certification n'est plus éligible au CPF depuis le 31/12/2021, mais permettra néanmoins de valider vos acquis
Modalités d’évaluation des acquis
- En cours de formation, par des études de cas ou des travaux pratiques
- Et, en fin de formation, par un questionnaire d'auto-évaluation ou une certification (M2i ou éditeur)