Accueil    Formations    Informatique    Cybersécurité    Sécurité défensive    Investigation numérique (Computer Forensics)

Partager cette formation Télécharger au format pdf Ajouter à mes favoris

Objectifs pédagogiques

  • Acquérir des compétences générales sur l'investigation numérique.

Niveau requis

Connaissances généralistes en programmation, réseau et système.

Public concerné

Développeurs, pentesters et consultants en informatique.

Programme

Jour 1

Introduction

  • Qu'est-ce que le Forensic ?
  • Qu'est-ce que le Forensic numérique ?
  • Les cas d'utilisation du Forensic dans une organisation
  • Forensic et réponse à incident
  • Obligations légales et limitations
  • CERT (Computer Emergency Response Team) / CSIRT (Computer Security Incident Response Team)

Méthodologie

  • Méthodologie d'investigation légale
  • Audit préalable
  • Enregistrements des preuves (chain of custody)
  • Collecte des preuves
  • Matériels d'investigation
  • Logiciels d'investigation
  • Protection de la collecte
  • Calculs des empreintes de fichiers
  • Rédaction du rapport

Investigation numérique "live"

  • Méthodologie live Forensic
  • Pourquoi le live ?
  • Qu'est-il possible de faire ?
  • Présentation de la suite Sysinternals

Investigation réseau

  • Enregistrement et surveillance
  • Les différents types de données
  • Acquisition des preuves et sondes
  • Rappel des bases du réseau
  • Présentation des outils connus
  • Identifier une erreur de type ARP (Adress Resolution Protocol) Storm
  • Identifier une attaque DHCP (Dynamic Host Configuration Protocol) Starvation
  • Identifier une attaque ARP Spoofing
  • Identifier un scan réseau
  • Identifier une exfiltration de données
  • Identifier un téléchargement via Torrent
Exemple de travaux pratiques (à titre indicatif)
  • Trouver des attaques de types ARP Spoofing

Jour 2

Forensic Windows

  • Analyse des systèmes de fichiers
    • FAT (File Allocation Table) / exFAT (Extended File Allocation Table) (court)
    • NTFS ( New Technology File System)
    • Timeline (MFT)
  • Artefacts Système
    • EVTX (Windows XML Event Log)
    • Analyse base de registre
    • Analyse VSC (Volume Shadow Copies)
    • Autres (Jumplist, prefetch, AMcache)
  • Artefacts applicatifs
  • Navigateurs
  • Messageries
  • Skype / Onedrive / Dropbox
Exemple de travaux pratiques (à titre indicatif)
  • Trouver une intrusion via une attaque par Spear Phishing

Jour 3

Analyse simple de Malwares

  • Les menaces et leurs mécanismes
    • Etat des lieux démarche et outils (file, nm, readelf...)
    • Mettre en place un environnement de test
    • Sandbox
    • Analyse simple avec Strace, Ltrace et GDB (GNU Debugger)
    • Mécanismes de persistance
    • Techniques d'évasion
  • Analyse mémoire sous Windows
    • Principe
    • Volatility

Forensic Linux

  • Analyse de la mémoire vive
  • Volatility avancé (ajout de plugin)
  • Analyse des principaux artefacts
  • Retracer la création d'un profil
  • Monter une partition MBR (Master Boot Record) et GUID (Globally Unique Identifier)
  • EXT / SWAP
Exemple de travaux pratiques (à titre indicatif)
  • Analyser un simple Malwares

Jour 4

  • Création de la timeline et exploitation des metadatas (STK et Python)
  • Analyse des logs systèmes et applications : historique, logins et droits

Investigation Web

  • Analyse de logs (déclinaison top 10 OWASP)
  • Analyse base de données
  • Scripting Python (RegEx)
  • Désobfuscation
  • Cas d'usage (analyse d'une backdoor PHP)
Exemple de travaux pratiques (à titre indicatif)
  • Détecter une attaque SQLI (SQL Injection)

Jour 5

Section 9

  • Android
    • Présentation d'Android (historique et architecture)
    • Installation d'un lab (ADB, genymotion...)
    • Dump mémoire
    • Analyse des logs, base de données et navigateurs
    • Description des valises UFED (Universal Forensic Extraction Device)
    • Principe de fonctionnement
    • Différentes sauvegardes réalisables
    • Analyses via UFED Physical Analyzer
    • Scripting avec Python
  • Iphone
    • Présentation IOS et architecture
    • Acquisition logique
    • Acquisition physique
    • Jailbreak
    • Analyse des différents artefacts IOS

Certification (en option)

  • Nos tests de validation des compétences font partie intégrante du processus d'apprentissage car ils permettent de développer différents niveaux d'abstractions.
  • Solliciter l'apprenant à l'aide de nos QCM, c'est lui permettre d'étayer sa réflexion en mobilisant sa mémoire pour choisir la bonne réponse. Nous sommes bien dans une technique d'ancrage mémoriel.
  • L'examen sera passé à la fin de la formation.

Les + de la formation

L'examen de certification (proposé en option) est en français.

Partager cette formation Télécharger au format pdf Ajouter à mes favoris

Vous souhaitez suivre cette formation ?

Cette formation est disponible en présentiel ou en classe à distance, avec un programme et une qualité pédagogique identiques.

Choisissez la modalité souhaitée pour vous inscrire :

Modalité Présentiel, Classe à distance

Certification M2i Sécurité Inforensic (+ 120€)

Financements CPF

Votre société a besoin d'une offre personnalisée ? Contactez-nous

Faites évoluer vos compétences

Complétez votre formation

Faites-nous part de votre projet de formation, nous sommes là pour vous guider.

Contactez-nous