Formation
Investigation numérique
Windows

Apprenez à investiguer sur les OS Windows

L’objectif pédagogique est acquérir les compétences et la méthodologie pour une investigation numérique sur le système d’exploitation Windows. 

La méthodologie et l’étude des différents artefacts sont développés et mise à jour régulièrement afin que le candidat puisse pratiquer ce qu’il a vu en formation sur les dernières versions des systèmes Windows.

Public : administrateur, analyste SOC, ingénieur sécurité.

Prérequis : connaissance sur les OS Windows, TCP/IP, Linux.

Programme de la formation

Jour 1 matin

  • Section 1  – Etat de l’art de l’investigation numérique

    • Objectif du cours

    • Introduction à l’investigation numérique

    • Lien entre les différentes disciplines Forensics

    • Méthodologie d’investigation légale (Chaîne de custody, Chaine des évidences)

    • Présentation du framework ATT & CK du MITRE et points d’entrées des Cyberattaques

    • Arbres d’attaque

    • Les signes de compromissions (Corrélation ATT&CK)

    • Vocabulaire, taxonomie

    • Les différents OS Windows

 

  • Section 2 – Les fondamentaux Windows

    • Fondamentaux Windows

      • Système de fichiers / Arborescence

      • Séquence de boot Windows

      • Base de registre 

      • Logs (evtx, log pilotes, etc)

      • Variables d’environnements

Jour 1 après-midi

  • Services et les différents accès (services.exe, Powershell)

  • Fondamentaux FAT32

  • Fondamentaux NTFS

  • TD 1 / Analyse d’un disque

  • TP 1 / Analyse d’un disque

  • TP2 / Questionnaire  de connaissance

  • Section 3 – Collecte des données

    • Les outils du marché (Kape, Arsenal, FTKimager, Plaso,Hindsight..)

    • Collecte des données physique et virtualisation 

    • Présentation du Lab

    • TD / Collecte de données (En continue)

Jour 2 matin

  • Section 4 – Artefacts

 

  •  Différents artefacts internet

    • Pièces jointes

    • Open/Save MRU

    • Flux ADS Zone.Identifier

    • Téléchargements

    • Historique Skype

    • Navigateurs internet

    • Historique

    • Cache

    • Sessions restaurées

    • Cookies

  • Différents artefacts exécution

    • UserAssist

    • Timeline Windows 10 

    • RecentApps

    • Shimcache

    • Jumplist

    • Amcache.hve

    • BAM/DAM

    • Last-Visited MRU

    • Prefetch

  • Différents artefacts fichiers/dossiers

    • Shellbags

    • Fichiers récents

    • Raccourcis (LNK)

    • Documents Office

    • IE/Edge Files

Jour 2  après-midi

  • Différents artefacts réseau

    • Termes recherchés sur navigateur

    • Cookie

    • Historique

    • SRUM (ressource usage monitor)

    • Log wifi

  • Différents artefacts comptes utilisateur

    • Dernières connexions

    • Changement de mot de passe

    • Echec/Réussite d’authentification

    • Évènement de service (démarrage)

    • Evènement d’authentification

    • Type d’authentification

    • Utilisation du RDP

  • Différents artefacts USB

    • Nomination des volumes

    • Evénement PnP (Plug & Play)

    • Numéros de série

  • Différents artefacts fichiers supprimés

    • tools

    • Récupération de la corbeille

    • Thumbcache

    • Thumb.db

    • WordWheelQuery

  • Spécificités Active Directory

  • TP 3 / Première investigation

Jour 3 matin

  • Section 5 –  Techniques avancées

    • VSS

    • Carving

    • Anti-forensic et Timestomping

    • TP 4 / Deuxième investigation 

Jour 3 après-midi

  • Section 6 –  Introduction à volatility

    • Données volatiles

    • Analyse d’un dump mémoire

    • Extraction et analyse des process

    • TP / Recherche d’un malware à l’aide de Volatility

La formation comprend

Support .pdf
Cahier d'exercice
Étude de cas
Machines virtuelles
triptyque

Formateurs officiels ESD

Liste des formateurs certifiés par l’ESD pour cette formation.

Photo Alain MENELET
Alain MENELET

Suivez notre actualité

N’hésitez pas à nous suivre sur les réseaux sociaux