Dernière mise à jour : 12/06/2024
L'objectif pédagogique est d'acquérir les compétences et la méthodologie pour une investigation numérique sur le système d'exploitation Windows. La méthodologie et l'étude des différents artefacts sont développées et mises à jour régulièrement afin que le candidat puisse pratiquer ce qu'il a vu en formation sur les dernières versions des systèmes Windows.
Formation en partenariat
• Administrateur
• Analyste SOC
• Ingénieur sécurité
Jour 1
Section 1 – Etat de l'art de l'investigation numérique
• Objectif du cours
• Introduction à l'investigation numérique
• Lien entre les différentes disciplines Forensics
• Méthodologie d'investigation légale (Chaîne de custody, Chaîne des évidences)
• Présentation du framework ATT & CK du MITRE et points d'entrée des cyberattaques
• Arbres d'attaque
• Les signes de compromissions (Corrélation ATT&CK)
• Vocabulaire, taxonomie
• Les différents OS Windows
Section 2 – Les fondamentaux Windows
• Fondamentaux Windows
- Système de fichiers / Arborescence
- Séquence de boot Windows
- Base de registre
- Logs (evtx, log pilotes, etc.)
- Variables d'environnements
• Services et les différents accès (services.exe, Powershell)
• Fondamentaux FAT32
• Fondamentaux NTFS
• TD 1 / Analyse d'un disque
• TP 1 / Analyse d'un disque
• TP2 / Questionnaire de connaissance
Section 3 – Collecte des données
• Les outils du marché (Kape, Arsenal, FTKimager, Plaso,Hindsight..)
• Collecte des données physiques et virtualisation
• Présentation du Lab
• TD / Collecte de données (En continu)
Jour 2
Section 4 – Artefacts
• Différents artefacts internet
- Pièces jointes
- Open/Save MRU
- Flux ADS Zone.Identifier
- Téléchargements
- Historique Skype
- Navigateurs internet
- Historique
- Cache
- Sessions restaurées
- Cookies
• Différents artefacts exécution
- UserAssist
- Timeline Windows 10
- RecentApps
- Shimcache
- Jumplist
- Amcache.hve
- BAM/DAM
- Last-Visited MRU
- Prefetch
• Différents artefacts fichiers/dossiers
- Shellbags
- Fichiers récents
- Raccourcis (LNK)
- Documents Office
- IE/Edge Files
• Différents artefacts réseau
- Termes recherchés sur navigateur
- Cookie
- Historique
- SRUM (ressource usage monitor)
- Log wifi
• Différents artefacts comptes utilisateur
- Dernières connexions
- Changement de mot de passe
- Echec/Réussite d'authentification
- Évènement de service (démarrage)
- Evènement d'authentification
- Type d'authentification
- Utilisation du RDP
• Différents artefacts USB
- Nomination des volumes
- Evénement PnP (Plug & Play)
- Numéros de série
• Différents artefacts fichiers supprimés tools
- Récupération de la corbeille
- Thumbcache
- Thumb.db
- WordWheelQuery
• Spécificités Active Directory
• TP 3 / Première investigation
Jour 3
Section 5 – Techniques avancées
• VSS
• Carving
• Anti-forensic et Timestomping
• TP 4 / Deuxième investigation
Section 6 – Introduction à volatility
• Données volatiles
• Analyse d'un dump mémoire
• Extraction et analyse des process
• TP / Recherche d'un malware à l'aide de Volatility