Formation
Investigation numérique
Windows

Jour 1 matin

• Section 1  – Etat de l’art de l’investigation numérique

  • Objectif du cours

  • Introduction à l’investigation numérique

  • Lien entre les différentes disciplines Forensics

  • Méthodologie d’investigation légale (Chaîne de custody, Chaîne des évidences)

  • Présentation du framework ATT & CK du MITRE et points d’entrée des Cyberattaques

  • Arbres d’attaque

  • Les signes de compromissions (Corrélation ATT&CK)

  • Vocabulaire, taxonomie

  • Les différents OS Windows

• Section 2 – Les fondamentaux Windows

  • Fondamentaux Windows

    • Système de fichiers / Arborescence

    • Séquence de boot Windows

    • Base de registre 

    • Logs (evtx, log pilotes, etc.)

    • Variables d’environnements

Jour 1 après-midi

• Services et les différents accès (services.exe, Powershell)

• Fondamentaux FAT32

• Fondamentaux NTFS

• TD 1 / Analyse d’un disque

• TP 1 / Analyse d’un disque

• TP2 / Questionnaire  de connaissance

• Section 3 – Collecte des données

  • Les outils du marché (Kape, Arsenal, FTKimager, Plaso,Hindsight..)

  • Collecte des données physiques et virtualisation

  • Présentation du Lab

  • TD / Collecte de données (En continu)

Jour 2 matin

• Section 4 – Artefacts

•  Différents artefacts internet

  • Pièces jointes

  • Open/Save MRU

  • Flux ADS Zone.Identifier

  • Téléchargements

  • Historique Skype

  • Navigateurs internet

  • Historique

  • Cache

  • Sessions restaurées

  • Cookies

• Différents artefacts exécution

  • UserAssist

  • Timeline Windows 10 

  • RecentApps

  • Shimcache

  • Jumplist

  • Amcache.hve

  • BAM/DAM

  • Last-Visited MRU

  • Prefetch

• Différents artefacts fichiers/dossiers

  • Shellbags

  • Fichiers récents

  • Raccourcis (LNK)

  • Documents Office

  • IE/Edge Files

Jour 2  après-midi

• Différents artefacts réseau

  • Termes recherchés sur navigateur

  • Cookie

  • Historique

  • SRUM (ressource usage monitor)

  • Log wifi

• Différents artefacts comptes utilisateur

  • Dernières connexions

  • Changement de mot de passe

  • Echec/Réussite d’authentification

  • Évènement de service (démarrage)

  • Evènement d’authentification

  • Type d’authentification

  • Utilisation du RDP

• Différents artefacts USB

  • Nomination des volumes

  • Evénement PnP (Plug & Play)

  • Numéros de série

• Différents artefacts fichiers supprimés

  • tools

  • Récupération de la corbeille

  • Thumbcache

  • Thumb.db

  • WordWheelQuery

• Spécificités Active Directory

• TP 3 / Première investigation

Jour 3 matin

• Section 5 –  Techniques avancées

  • VSS

  • Carving

  • Anti-forensic et Timestomping

  • TP 4 / Deuxième investigation 

Jour 3 après-midi

• Section 6 –  Introduction à volatility

  • Données volatiles

  • Analyse d’un dump mémoire

  • Extraction et analyse des process

  • TP / Recherche d’un malware à l’aide de Volatility