L’objectif pédagogique est d’acquérir les compétences et la méthodologie pour une investigation numérique sur le système d’exploitation Windows.
La méthodologie et l’étude des différents artefacts sont développées et mises à jour régulièrement afin que le candidat puisse pratiquer ce qu’il a vu en formation sur les dernières versions des systèmes Windows.
- Financement CPF possible
- Durée : 3 jours
- Prix : 2649 Euros HT (formation + certification)
- Disponible en ligne
Public : administrateur, analyste SOC, ingénieur sécurité.
Prérequis : connaissance sur les OS Windows, TCP/IP, Linux.
Programme de la formation
Jour 1 matin
Section 1 – Etat de l’art de l’investigation numérique
Objectif du cours
Introduction à l’investigation numérique
Lien entre les différentes disciplines Forensics
Méthodologie d’investigation légale (Chaîne de custody, Chaîne des évidences)
Présentation du framework ATT & CK du MITRE et points d’entrée des Cyberattaques
Arbres d’attaque
Les signes de compromissions (Corrélation ATT&CK)
Vocabulaire, taxonomie
Les différents OS Windows
Section 2 – Les fondamentaux Windows
Fondamentaux Windows
Système de fichiers / Arborescence
Séquence de boot Windows
Base de registre
Logs (evtx, log pilotes, etc.)
Variables d’environnements
Jour 1 après-midi
Services et les différents accès (services.exe, Powershell)
Fondamentaux FAT32
Fondamentaux NTFS
TD 1 / Analyse d’un disque
TP 1 / Analyse d’un disque
TP2 / Questionnaire de connaissance
Section 3 – Collecte des données
Les outils du marché (Kape, Arsenal, FTKimager, Plaso,Hindsight..)
Collecte des données physiques et virtualisation
Présentation du Lab
TD / Collecte de données (En continu)
Jour 2 matin
Section 4 – Artefacts
Différents artefacts internet
Pièces jointes
Open/Save MRU
Flux ADS Zone.Identifier
Téléchargements
Historique Skype
Navigateurs internet
Historique
Cache
Sessions restaurées
Cookies
Différents artefacts exécution
UserAssist
Timeline Windows 10
RecentApps
Shimcache
Jumplist
Amcache.hve
BAM/DAM
Last-Visited MRU
Prefetch
Différents artefacts fichiers/dossiers
Shellbags
Fichiers récents
Raccourcis (LNK)
Documents Office
IE/Edge Files
Jour 2 après-midi
Différents artefacts réseau
Termes recherchés sur navigateur
Cookie
Historique
SRUM (ressource usage monitor)
Log wifi
Différents artefacts comptes utilisateur
Dernières connexions
Changement de mot de passe
Echec/Réussite d’authentification
Évènement de service (démarrage)
Evènement d’authentification
Type d’authentification
Utilisation du RDP
Différents artefacts USB
Nomination des volumes
Evénement PnP (Plug & Play)
Numéros de série
Différents artefacts fichiers supprimés
tools
Récupération de la corbeille
Thumbcache
Thumb.db
WordWheelQuery
Spécificités Active Directory
TP 3 / Première investigation
Jour 3 matin
Section 5 – Techniques avancées
VSS
Carving
Anti-forensic et Timestomping
TP 4 / Deuxième investigation
Jour 3 après-midi
Section 6 – Introduction à volatility
Données volatiles
Analyse d’un dump mémoire
Extraction et analyse des process
TP / Recherche d’un malware à l’aide de Volatility
La formation comprend
Formateurs officiels ESD
Liste des formateurs certifiés par l’ESD pour cette formation.
Tester vos compétences
d’investigateur numérique sur les systèmes Microsoft Windows.