Formation
Investigation numérique
Windows

Inscrivez-vous
Certification associée : ESD-FORENSICSWIN 

L’objectif pédagogique est d’acquérir les compétences et la méthodologie pour une investigation numérique sur le système d’exploitation Windows. 

La méthodologie et l’étude des différents artefacts sont développées et mises à jour régulièrement afin que le candidat puisse pratiquer ce qu’il a vu en formation sur les dernières versions des systèmes Windows.

  • Financement CPF possible
  • Durée : 5 jours
  • Prix : 3500 Euros HT (certification ESD-FORENSICSWIN + 549 € HT)
  • Disponible en ligne

Public : administrateur, analyste SOC, ingénieur sécurité.

Prérequis : connaissance sur les OS Windows, TCP/IP, Linux.

Un mot sur les auteurs du support

Photo Alain MENELET

Alain MENELET

Ingénieur CNAM, il travaille et collabore depuis de nombreuses années  sur des projets au sein de CSIRT/SOC. Également enseignant dans le supérieur, il a créé et dispensé un grand nombre de cours ayant attrait à l’analyse de malware et la réponse à incident.

Lire la biographie

Programme de la formation

Jour 1 matin

  • Section 1 – La réponse à incident et l’investigation numérique

  • Méthodologie d’une réponse à incident

    • NIST/SANS/OODA

    • PRIS/ISO

  • Mise en place d’un laboratoire

Jour 1 après-midi

  • Section 2 – Live Forensic sur Windows

    • Sources et commandes associées

    • Outils

  • Section 3 – Event Log Analyse sur Windows

    • Exploitation des Evtx / Etw

    • Utilisation d’un SIEM

Jour 2 matin

  • Section 4 – Artefacts Windows (TP/TD)

Jour 2 après-midi

  • Section 5 – La mémoire vive sur Windows

    • Prélèvement 

      • Physique

      • Virtualisée

      • Validation du prélèvement

      • Chain of custody / evidence

    • Analyse

      • Fonctionnement de Volatility ( 2 et 3)

      • Concepts (profil, vtype, volshell)

      • Liste des modules + méthodologie

      • TP

Jour 3 journée

  • Section 6 – La mémoire de masse sur Gnu/Linux

    • Prélèvement

      • Physique

      • Virtualisée

      • Validation du prélèvement

      • Chain of custody / evidence

    • Analyse

      • Concepts 

      • Timeline

        • Génération et analyse

      • Artefacts

        • Services

        • Journalisation système

        • logs

    • Cas d’étude

Jour 4 matin

  • Section 7 – Live forensic & event log analyse sur Gnu/Linux

  • Section 8 – La mémoire vive sur Gnu/Linux

    • Prélèvement 

      • Physique

      • Virtualisée

      • Validation du prélèvement

      • Chain of custody /evidence

    • Analyse

      • Fonctionnement de Volatility 2/3

      • Concepts (profil, vtype, volshell)

      • Liste des modules + méthodologie

      • TP / TD

Jour 4 après-midi

  • Section 9 – La mémoire de masse sur Gnu/Linux

    • Prélèvement

      • Physique

      • Virtualisée

    • Analyse

      • Concepts (ext4, VFS, …)

      • Timeline

        • Génération et analyse

      • Artefacts

        • Services

        • Journalisation système

      • logs

Jour 5 journée 

  • Section 10 – Cas d’étude

Formateurs officiels ESD

Liste des formateurs certifiés par l’ESD pour cette formation.

Photo Alain MENELET
Alain MENELET
Linkedin

La formation comprend

Support .pdf
Cahier d'exercices
Étude de cas
Machines virtuelles
triptyque
Voir un extrait

Tester vos compétences

d’investigateur numérique sur les systèmes Microsoft Windows.

Certification ESD-FORENSICSWIN