Investigation numérique Windows Mixte : présentiel / à distance

L'objectif pédagogique est d'acquérir les compétences et la méthodologie pour une investigation numérique sur le système d'exploitation Windows. La méthodologie et l'étude des différents artefacts sont développées et mises à jour régulièrement afin

que le candidat puisse pratiquer ce qu'il a vu en formation sur les dernières versions des systèmes Windows.

 

Formation en partenariat

•  Acquérir les compétences et la méthodologie pour une investigation numérique sur le système d'exploitation Windows

• Administrateur

• Analyste SOC

• Ingénieur sécurité

• Avoir des connaissances sur les OS Windows, TCP/IP, Linux

Jour 1

Section 1 – Etat de l'art de l'investigation numérique

• Objectif du cours

• Introduction à l'investigation numérique

• Lien entre les différentes disciplines Forensics

• Méthodologie d'investigation légale (Chaîne de custody, Chaîne des évidences)

• Présentation du framework ATT & CK du MITRE et points d'entrée des cyberattaques

• Arbres d'attaque

• Les signes de compromissions (Corrélation ATT&CK)

• Vocabulaire, taxonomie

• Les différents OS Windows

 

Section 2 – Les fondamentaux Windows

• Fondamentaux Windows

- Système de fichiers / Arborescence

- Séquence de boot Windows

- Base de registre

- Logs (evtx, log pilotes, etc.)

- Variables d'environnements

• Services et les différents accès (services.exe, Powershell)

• Fondamentaux FAT32

• Fondamentaux NTFS

• TD 1 / Analyse d'un disque

• TP 1 / Analyse d'un disque

• TP2 / Questionnaire de connaissance

 

Section 3 – Collecte des données

• Les outils du marché (Kape, Arsenal, FTKimager, Plaso,Hindsight..)

• Collecte des données physiques et virtualisation

• Présentation du Lab

• TD / Collecte de données (En continu)

 

Jour 2

Section 4 – Artefacts

• Différents artefacts internet

- Pièces jointes

- Open/Save MRU

- Flux ADS Zone.Identifier

- Téléchargements

- Historique Skype

- Navigateurs internet

- Historique

- Cache

- Sessions restaurées

- Cookies

• Différents artefacts exécution

- UserAssist

- Timeline Windows 10

- RecentApps

- Shimcache

- Jumplist

- Amcache.hve

- BAM/DAM

- Last-Visited MRU

- Prefetch

• Différents artefacts fichiers/dossiers

- Shellbags

- Fichiers récents

- Raccourcis (LNK)

- Documents Office

- IE/Edge Files

• Différents artefacts réseau

- Termes recherchés sur navigateur

- Cookie

- Historique

- SRUM (ressource usage monitor)

- Log wifi

• Différents artefacts comptes utilisateur

- Dernières connexions

- Changement de mot de passe

- Echec/Réussite d'authentification

- Évènement de service (démarrage)

- Evènement d'authentification

- Type d'authentification

- Utilisation du RDP

• Différents artefacts USB

- Nomination des volumes

- Evénement PnP (Plug & Play)

- Numéros de série

• Différents artefacts fichiers supprimés tools

- Récupération de la corbeille

- Thumbcache

- Thumb.db

- WordWheelQuery

• Spécificités Active Directory

• TP 3 / Première investigation

 

Jour 3

Section 5 – Techniques avancées

• VSS

• Carving

• Anti-forensic et Timestomping

• TP 4 / Deuxième investigation

 

Section 6 – Introduction à volatility

• Données volatiles

• Analyse d'un dump mémoire

• Extraction et analyse des process

• TP / Recherche d'un malware à l'aide de Volatility