Accueil    Formations    Informatique    Cybersécurité    Sécurité défensive    Investigation numérique Windows (Computer Forensics)

Partager cette formation Télécharger au format pdf Ajouter à mes favoris

Objectifs pédagogiques

  • Réaliser une investigation numérique sur le système d'exploitation Windows.

Niveau requis

Avoir des connaissances sur l'OS Windows, TCP/IP, Linux.

Public concerné

Administrateurs, analystes SOC et ingénieurs sécurité.

Partenaire / éditeur

Programme

Jour 1

Etat de l'art de l'investigation numérique

  • Introduction à l'investigation numérique
  • Lien entre les différentes disciplines Forensics
  • Méthodologie d'investigation légale (chaîne de custody, rapport et méthode OSCAR)
  • Vocabulaire et taxonomie
  • Les différents OS Windows

Les fondamentaux Windows

  • Fondamentaux Windows
    • Système de fichiers / Arborescence
    • Séquence de boot Windows
    • Base de registre
    • Logs (evtx, log pilotes...)
    • Variables d'environnements
  • Services et les différents accès (services.exe, Powershell)
  • Fondamentaux FAT32
  • Fondamentaux NTFS (New Technology File System)
Exemple de travaux pratiques (à titre indicatif)
  • Analyse d'un disque

Collecte des données

  • Les outils du marché (SleuthKit)
  • Présentation du Framework ATT&CK du MITRE et points d'entrées des cyberattaques
  • Arbres d'attaque
  • Les signes de compromissions (corrélation ATT&CK)
  • Collecte des données physique et virtualisation
  • Présentation du Lab
Exemple de travaux pratiques (à titre indicatif)
  • Collecte de données

Jour 2

Artefacts

  • Différents artefacts Internet
    • Pièces jointes
    • Open / Save MRU
    • Flux ADS Zone. Identifier
    • Téléchargements
    • Historique Skype
    • Navigateurs internet
    • Historique
    • Cache
    • Sessions restaurées
    • Cookies
  • Différents artefacts exécution
    • UserAssist
    • Timeline Windows 10
    • RecentApps
    • Shimcache
    • Jumplist
    • Amcache.hve
    • BAM / DAM
    • Last-Visited MRU
    • Prefetch
  • Différents artefacts fichiers / dossiers
    • Shellbags
    • Fichiers récents
    • Raccourcis (LNK)
    • Documents Office
    • IE / Edge Files
  • Différents artefacts réseau
    • Termes recherchés sur navigateur
    • Cookie
    • Historique
    • SRUM (ressource usage monitor)
    • Log Wi-Fi
  • Différents artefacts comptes utilisateur
    • Dernières connexions
    • Changement de mot de passe
    • Echec / réussite d'authentification
    • Evènement de service (démarrage)
    • Evènement d'authentification
    • Type d'authentification
    • Utilisation du RDP (Remote Desktop Protocol)
  • Différents artefacts USB
    • Nomination des volumes
    • Evènement PnP (Plug et Play)
    • Numéros de série
  • Différents artefacts fichiers supprimés
    • Tools (recurva...)
    • Récupération de la corbeille
    • Thumbcache
    • Thumb.db
    • WordWheelQuery
Exemples de travaux pratiques (à titre indicatif)
  • Recherche d'un spear shiphing
  • Retracer l'exécution d'un programme
  • Découverte d'un reverse shell
  • Analyse eternal blue
  • Première investigation

Jour 3

Techniques avancées

  • VSS (Volume Shadow Copy Service)
  • Carving
  • Anti-Forensic et timestomping
  • Spécificités Active Directory (AD)
Exemple de travaux pratiques (à titre indicatif)
  • Recherche d'artefact sur AD

Introduction à Volatility

  • Données volatiles
  • Analyse d'un dump mémoire
  • Extraction et analyse des process
Exemple de travaux pratiques (à titre indicatif)
  • Recherche d'un malware à l'aide de Volatility

Partager cette formation Télécharger au format pdf Ajouter à mes favoris

Vous souhaitez suivre cette formation ?

Cette formation est disponible en présentiel ou en classe à distance, avec un programme et une qualité pédagogique identiques.

Choisissez la modalité souhaitée pour vous inscrire :

Modalité Présentiel, Classe à distance

Votre société a besoin d'une offre personnalisée ? Contactez-nous

Faites-nous part de votre projet de formation, nous sommes là pour vous guider.

Contactez-nous