Analyse Inforensique Windows

L’analyse inforensique est l’investigation et la qualification poussée des cyberattaques. Elle permet de comprendre les sources de l’attaque afin de vous aider à sortir de cette crise et vous prémunir d’un nouvel épisode d’incident similaire.

• Pour exemple l’analyse post-mortem, est la collecte de toutes les données potentiellement liées à l’attaque (journaux d’évènement systèmes, journaux d’évènements d’applications, etc)

Contenu de programme  :

Introduction à l ‘analyse Inforensique

• Présentation de l’inforensique
• Périmètre de l’investigation
• Trousse à outil
• Methodologie « First Responder »
• Analyse Post-mortem
  • Disques durs
  • Introduction aux systèmes de fichiers, Horodatages des fichiers
  • Acquisition des données : Persistante et volatile
  • Gestion des supports chiffrés
  • Recherche de données supprimées
  • Sauvegardes et Volume Shadow Copies
  • Aléas du stockage flash
  • Registres Windows
• Les structures de registres Windows
  • Utilisateurs, Systèmes
  • Analyse des journaux
  • Évènements / antivirus / autres logiciels

Scénario d’investigation

• Téléchargement/Accès à des contenus confidentiels
• Exécution de programmes
• Traces de manipulation de fichiers et de dossiers
  • Fichiers supprimés et espace non alloué
  • Carving, Géolocalisation, Photographies (données Exifs)
  • Points d’accès WiFi
  • HTML5
  • Exfiltration d’informations
  • Périphérique USB, Courriels, Journaux SMTP
  • Acquisition coté serveur
  • Analyse client messagerie
  • Utilisateurs abusés par des logiciels malveillant

Interaction sur Internet

• Utilisation des Navigateurs Internet
• IE/Edge / Firefox
• Office 365
• SharePoint
• Traces sur les AD Windows
• Présentation des principaux artefacts
• Bases de l’analyse de la RAM
  • Conversion des hyberfiles.sys, Bases Volatility/Rekall
  • Extraction des clés de chiffrement

Inforensique Linux

• Les bases de l’inforensique sur un poste de travail Linux »
• Les bases de l’inforensique sur un serveur Linux
  • Journaux serveurs Web & Corrélations avec le système de gestion de fichiers
  • Création et analyse d’une frise chronologique du système de fichier

Travaux pratique et vue d’ensemble

• Création et analyse d’une frise chronologique enrichie d’artefacts
• Exemple d’outil d’interrogation de gros volume de données

Evaluation

• Via QCM
• Examen de certification en option

Autres formations complémentaires