Objectifs pédagogiques : acquérir les compétences et la méthodologie pour une investigation numérique sur le système d’exploitation Windows
Pré-requis : connaissance sur l’OS Windows, TCP/IP, Linux
Durée : 3 jours
Public : administrateur, analyste SOC, ingénieur sécurité
Jour 1 matin
Section 1 - Etat de l’art de l’investigation numérique
Objectif du cours
Introduction à l’investigation numérique
Lien entre les différentes disciplines Forensics
Méthodologie d'investigation légale (Chaîne de custody, rapport, méthode OSCAR)
Vocabulaire, taxonomie
Les différents OS Windows
Section 2 - Les fondamentaux Windows
Fondamentaux Windows
Système de fichiers / Arborescence
Séquence de boot Windows
Base de registre
Logs (evtx, log pilotes, etc)
Variables d’environnements
Jour 1 après-midi
Services et les différents accès (services.exe, Powershell)
Fondamentaux FAT32
Fondamentaux NTFS
TD / Analyse d’un disque
Questionnaire participatif
Section 3 - Collecte des données
Les outils du marché (SleuthKit)
Présentation du framework ATT & CK du MITRE et points d’entrées des Cyberattaques
Arbres d’attaque
Les signes de compromissions (Corrélation ATT&CK)
Collecte des données physique et virtualisation
Présentation du Lab
TD / Collecte de données
Jour 2 matin
Section 4 - Artefacts
Différents artefacts internet
Pièces jointes
Open/Save MRU
Flux ADS Zone.Identifier
Téléchargements
Historique Skype
Navigateurs internet
Historique
Cache
Sessions restaurées
Cookies
TD / Recherche d’un spearshiphing
Différents artefacts exécution
UserAssist
Timeline Windows 10
RecentApps
Shimcache
Jumplist
Amcache.hve
BAM/DAM
Last-Visited MRU
Prefetch
TD / Retracer l’exécution d’un programme
Différents artefacts fichiers/dossiers
Shellbags
Fichiers récents
Raccourcis (LNK)
Documents Office
IE/Edge Files
Différents artefacts réseau
Termes recherchés sur navigateur
Cookie
Historique
SRUM (ressource usage monitor)
Log wifi
TD / Découverte d’un reverse shell
Différents artefacts comptes utilisateur
Dernières connexions
Changement de mot de passe
Echec/Réussite d’authentification
Évènement de service (démarrage)
Evènement d’authentification
Type d’authentification
Utilisation du RDP
TD / Analyse eternal blue
Jour 2 après-midi
Différents artefacts USB
Nomination des volumes
Evénement PnP (Plug & Play)
Numéros de série
Différents artefacts fichiers supprimés
tools
Récupération de la corbeille
Thumbcache
Thumb.db
WordWheelQuery
TP / Première investigation
Jour 3 matin
Section 5 - Techniques avancées
VSS
Carving
Anti-forensic et Timestomping
Spécificités Active Directory
TD / Recherche d'artefact sur AD
Jour 3 après-midi
Section 6 - Introduction à volatility
Données volatiles
Analyse d’un dump mémoire
Extraction et analyse des process
TP / Recherche d’un malware à l’aide de Volatility
Examen pour l’obtention d’un badge ESD academy (https://badges.esdacademy.eu)
Certification ou badge : badge
Durée de l'examen : 2 heures
Type d'examen : QCM
Cette formation permet de valider 1 point de compétence pour le Mastère ESD academy.
Pour obtenir le diplôme "Mastère ESD academy", il est nécessaire de valider 12 points de compétence ainsi que le passage devant un jury.
Livret stagiaire : livret_stagiaire_investigationnumeriquewindows.pdf
Cahier d'exercice : cahier_exercice_investigationnumeriquewindows.pdf
Machines virtuelles : VM_investigationnumeriquewindows.ova
Aide-mémoire :aide-mémoire-investigationnumériqueWINDOWS.png