Formation
Investigation numérique
Windows

Certification : ESD-FORENSICSWIN

L’objectif pédagogique est d’acquérir les compétences et la méthodologie pour une investigation numérique sur le système d’exploitation Windows. 

La méthodologie et l’étude des différents artefacts sont développées et mises à jour régulièrement afin que le candidat puisse pratiquer ce qu’il a vu en formation sur les dernières versions des systèmes Windows.

Public : administrateur, analyste SOC, ingénieur sécurité.

Prérequis : connaissance sur les OS Windows, TCP/IP, Linux.

Un mot sur les auteurs du support

Photo Alain MENELET

Alain MENELET

Ingénieur CNAM, il travaille et collabore depuis de nombreuses années  sur des projets au sein de CSIRT/SOC. Également enseignant dans le supérieur, il a créé et dispensé un grand nombre de cours ayant attrait à l’analyse de malware et la réponse à incident.

Programme de la formation

Jour 1 matin

  • Section 1 – La réponse à incident et l’investigation numérique

  • Méthodologie d’une réponse à incident

    • NIST/SANS/OODA

    • PRIS/ISO

  • Mise en place d’un laboratoire

Jour 1 après-midi

  • Section 2 – Live Forensic sur Windows

    • Sources et commandes associées

    • Outils

  • Section 3 – Event Log Analyse sur Windows

    • Exploitation des Evtx / Etw

    • Utilisation d’un SIEM

Jour 2 matin

  • Section 4 – Artefacts Windows (TP/TD)

Jour 2 après-midi

  • Section 5 – La mémoire vive sur Windows

    • Prélèvement 

      • Physique

      • Virtualisée

      • Validation du prélèvement

      • Chain of custody / evidence

    • Analyse

      • Fonctionnement de Volatility ( 2 et 3)

      • Concepts (profil, vtype, volshell)

      • Liste des modules + méthodologie

      • TP

Jour 3 journée

  • Section 6 – La mémoire de masse sur Gnu/Linux

    • Prélèvement

      • Physique

      • Virtualisée

      • Validation du prélèvement

      • Chain of custody / evidence

    • Analyse

      • Concepts 

      • Timeline

        • Génération et analyse

      • Artefacts

        • Services

        • Journalisation système

        • logs

    • Cas d’étude

Jour 4 matin

  • Section 7 – Live forensic & event log analyse sur Gnu/Linux

  • Section 8 – La mémoire vive sur Gnu/Linux

    • Prélèvement 

      • Physique

      • Virtualisée

      • Validation du prélèvement

      • Chain of custody /evidence

    • Analyse

      • Fonctionnement de Volatility 2/3

      • Concepts (profil, vtype, volshell)

      • Liste des modules + méthodologie

      • TP / TD

Jour 4 après-midi

  • Section 9 – La mémoire de masse sur Gnu/Linux

    • Prélèvement

      • Physique

      • Virtualisée

    • Analyse

      • Concepts (ext4, VFS, …)

      • Timeline

        • Génération et analyse

      • Artefacts

        • Services

        • Journalisation système

      • logs

Jour 5 journée 

  • Section 10 – Cas d’étude

Formateurs officiels ESD

Liste des formateurs certifiés par l’ESD pour cette formation.

Photo Alain MENELET
Alain MENELET

La formation comprend

Support .pdf
Cahier d'exercices
Étude de cas
Machines virtuelles
triptyque

Tester vos compétences

d’investigateur numérique sur les systèmes Microsoft Windows.

Newsletter

Contact