Formation
Investigation numérique
Windows
Certification : ESD-FORENSICSWIN (bientôt disponible)
L’objectif pédagogique est d’acquérir les compétences et la méthodologie pour une investigation numérique sur le système d’exploitation Windows.
La méthodologie et l’étude des différents artefacts sont développées et mises à jour régulièrement afin que le candidat puisse pratiquer ce qu’il a vu en formation sur les dernières versions des systèmes Windows.
- Financement CPF possible
- Durée : 3 jours
- Prix : 2495 Euros HT
- Disponible en ligne
Public : administrateur, analyste SOC, ingénieur sécurité.
Prérequis : connaissance sur les OS Windows, TCP/IP, Linux.
Programme de la formation
Jour 1 matin
Section 1 – Etat de l’art de l’investigation numérique
Objectif du cours
Introduction à l’investigation numérique
Lien entre les différentes disciplines Forensics
Méthodologie d’investigation légale (Chaîne de custody, Chaîne des évidences)
Présentation du framework ATT & CK du MITRE et points d’entrée des Cyberattaques
Arbres d’attaque
Les signes de compromissions (Corrélation ATT&CK)
Vocabulaire, taxonomie
Les différents OS Windows
Section 2 – Les fondamentaux Windows
Fondamentaux Windows
Système de fichiers / Arborescence
Séquence de boot Windows
Base de registre
Logs (evtx, log pilotes, etc.)
Variables d’environnements
Jour 1 après-midi
Services et les différents accès (services.exe, Powershell)
Fondamentaux FAT32
Fondamentaux NTFS
TD 1 / Analyse d’un disque
TP 1 / Analyse d’un disque
TP2 / Questionnaire de connaissance
Section 3 – Collecte des données
Les outils du marché (Kape, Arsenal, FTKimager, Plaso,Hindsight..)
Collecte des données physiques et virtualisation
Présentation du Lab
TD / Collecte de données (En continu)
Jour 2 matin
Section 4 – Artefacts
Différents artefacts internet
Pièces jointes
Open/Save MRU
Flux ADS Zone.Identifier
Téléchargements
Historique Skype
Navigateurs internet
Historique
Cache
Sessions restaurées
Cookies
Différents artefacts exécution
UserAssist
Timeline Windows 10
RecentApps
Shimcache
Jumplist
Amcache.hve
BAM/DAM
Last-Visited MRU
Prefetch
Différents artefacts fichiers/dossiers
Shellbags
Fichiers récents
Raccourcis (LNK)
Documents Office
IE/Edge Files
Jour 2 après-midi
Différents artefacts réseau
Termes recherchés sur navigateur
Cookie
Historique
SRUM (ressource usage monitor)
Log wifi
Différents artefacts comptes utilisateur
Dernières connexions
Changement de mot de passe
Echec/Réussite d’authentification
Évènement de service (démarrage)
Evènement d’authentification
Type d’authentification
Utilisation du RDP
Différents artefacts USB
Nomination des volumes
Evénement PnP (Plug & Play)
Numéros de série
Différents artefacts fichiers supprimés
tools
Récupération de la corbeille
Thumbcache
Thumb.db
WordWheelQuery
Spécificités Active Directory
TP 3 / Première investigation
Jour 3 matin
Section 5 – Techniques avancées
VSS
Carving
Anti-forensic et Timestomping
TP 4 / Deuxième investigation
Jour 3 après-midi
Section 6 – Introduction à volatility
Données volatiles
Analyse d’un dump mémoire
Extraction et analyse des process
TP / Recherche d’un malware à l’aide de Volatility
La formation comprend
Formateurs officiels ESD
Liste des formateurs certifiés par l’ESD pour cette formation.