Investigation numérique Windows Mixte : présentiel / à distance

Dernière mise à jour : 12/06/2024

Bannière visuelle de présentation de la formation

Introduction

L'objectif pédagogique est d'acquérir les compétences et la méthodologie pour une investigation numérique sur le système d'exploitation Windows. La méthodologie et l'étude des différents artefacts sont développées et mises à jour régulièrement afin que le candidat puisse pratiquer ce qu'il a vu en formation sur les dernières versions des systèmes Windows.

 

Formation en partenariat

Objectifs de la formation

•  Acquérir les compétences et la méthodologie pour une investigation numérique sur le système d'exploitation Windows

Public visé

• Administrateur

• Analyste SOC

• Ingénieur sécurité

Prérequis

• Avoir des connaissances sur les OS Windows, TCP/IP, Linux

Programme

Jour 1

Section 1 – Etat de l'art de l'investigation numérique

• Objectif du cours

• Introduction à l'investigation numérique

• Lien entre les différentes disciplines Forensics

• Méthodologie d'investigation légale (Chaîne de custody, Chaîne des évidences)

• Présentation du framework ATT & CK du MITRE et points d'entrée des cyberattaques

• Arbres d'attaque

• Les signes de compromissions (Corrélation ATT&CK)

• Vocabulaire, taxonomie

• Les différents OS Windows

 

Section 2 – Les fondamentaux Windows

• Fondamentaux Windows

- Système de fichiers / Arborescence

- Séquence de boot Windows

- Base de registre

- Logs (evtx, log pilotes, etc.)

- Variables d'environnements

• Services et les différents accès (services.exe, Powershell)

• Fondamentaux FAT32

• Fondamentaux NTFS

• TD 1 / Analyse d'un disque

• TP 1 / Analyse d'un disque

• TP2 / Questionnaire de connaissance

 

Section 3 – Collecte des données

• Les outils du marché (Kape, Arsenal, FTKimager, Plaso,Hindsight..)

• Collecte des données physiques et virtualisation

• Présentation du Lab

• TD / Collecte de données (En continu)

 

Jour 2

Section 4 – Artefacts

• Différents artefacts internet

- Pièces jointes

- Open/Save MRU

- Flux ADS Zone.Identifier

- Téléchargements

- Historique Skype

- Navigateurs internet

- Historique

- Cache

- Sessions restaurées

- Cookies

• Différents artefacts exécution

- UserAssist

- Timeline Windows 10

- RecentApps

- Shimcache

- Jumplist

- Amcache.hve

- BAM/DAM

- Last-Visited MRU

- Prefetch

• Différents artefacts fichiers/dossiers

- Shellbags

- Fichiers récents

- Raccourcis (LNK)

- Documents Office

- IE/Edge Files

• Différents artefacts réseau

- Termes recherchés sur navigateur

- Cookie

- Historique

- SRUM (ressource usage monitor)

- Log wifi

• Différents artefacts comptes utilisateur

- Dernières connexions

- Changement de mot de passe

- Echec/Réussite d'authentification

- Évènement de service (démarrage)

- Evènement d'authentification

- Type d'authentification

- Utilisation du RDP

• Différents artefacts USB

- Nomination des volumes

- Evénement PnP (Plug & Play)

- Numéros de série

• Différents artefacts fichiers supprimés tools

- Récupération de la corbeille

- Thumbcache

- Thumb.db

- WordWheelQuery

• Spécificités Active Directory

• TP 3 / Première investigation

 

Jour 3

Section 5 – Techniques avancées

• VSS

• Carving

• Anti-forensic et Timestomping

• TP 4 / Deuxième investigation

 

Section 6 – Introduction à volatility

• Données volatiles

• Analyse d'un dump mémoire

• Extraction et analyse des process

• TP / Recherche d'un malware à l'aide de Volatility

M'inscrire à la formation

Afin de valider votre demande d'inscription, merci de bien vouloir compléter le formulaire ci-dessous.
Ajouter à ma demande

Prochaines Sessions

Dans la même catégorie

Retour à la page d'accueil

Partager cette formation