Investigation numérique Windows

Réf. : DNDAESD05

Durée : 4 jours

Tarif : 2000 € HT

Formation en visioconférence

Objectifs :

Acquérir les compétences et la méthodologie pour une investigation numérique sur le système d’exploitation Windows.

Jour 1 matin

Section 1  - Etat de l’art de l’investigation numérique
Objectif du cours
Introduction à l’investigation numérique
Lien entre les différentes disciplines Forensics
Méthodologie d'investigation légale (Chaîne de custody, Chaine des évidences)
Présentation du framework ATT & CK du MITRE et points d’entrées des Cyberattaques
Arbres d’attaque
Les signes de compromissions (Corrélation ATT&CK)
Vocabulaire, taxonomie
Les différents OS Windows

Section 2 - Les fondamentaux Windows
Fondamentaux Windows
Système de fichiers / Arborescence
Séquence de boot Windows
Base de registre 
Logs (evtx, log pilotes, etc)
Variables d’environnements

Jour 1 après-midi

Services et les différents accès (services.exe, Powershell)
Fondamentaux FAT32
Fondamentaux NTFS
TD 1 / Analyse d’un disque
TP 1 / Analyse d’un disque
TP 2 / Questionnaire  de connaissance

Section 3 - Collecte des données
Les outils du marché (Kape, Arsenal, FTKimager, Plaso,Hindsight..)
Collecte des données physique et virtualisation 
Présentation du Lab
TD / Collecte de données (En continue)

Jour 2 matin

Section 4 - Artefacts
Différents artefacts internet
Pièces jointes
Open/Save MRU
Flux ADS Zone.Identifier
Téléchargements
Historique Skype
Navigateurs internet
Historique
Cache
Sessions restaurées
Cookies

Jour 2  après-midi

Différents artefacts exécution
UserAssist
Timeline Windows 10 
RecentApps
Shimcache
Jumplist
Amcache.hve
BAM/DAM
Last-Visited MRU
Prefetch

Jour 3 matin

Différents artefacts fichiers/dossiers
Shellbags
Fichiers récents
Raccourcis (LNK)
Documents Office
IE/Edge Files

Jour 3 après-midi

Différents artefacts réseau
Termes recherchés sur navigateur
Cookie
Historique
SRUM (ressource usage monitor)
Log wifi

Jour 4 matin

Différents artefacts comptes utilisateur
Dernières connexions
Changement de mot de passe
Echec/Réussite d’authentification
Évènement de service (démarrage)
Evènement d’authentification
Type d’authentification
Utilisation du RDP
Différents artefacts USB
Nomination des volumes
Evénement PnP (Plug & Play)
Numéros de série
Différents artefacts fichiers supprimés
tools
Récupération de la corbeille
Thumbcache
Thumb.db
WordWheelQuery
Spécificités Active Directory
TP 3 /  investigation

Jour 4 après-midi

Section 5 -  Techniques avancées
VSS
Carving
Anti-forensic et Timestomping
TP 4 / Deuxième investigation 

Section 6 -  Introduction à volatility
Données volatiles
Analyse d’un dump mémoire
Extraction et analyse des process
TP / Recherche d’un malware à l’aide de Volatility

Public

Administrateur, analyste SOC, ingénieur sécurité.

Pré-requis

Connaissance sur l’OS Windows, TCP/IP, Linux.

Méthodes pédagogiques

Alternance d'apports théoriques, d'exercices pratiques et d'études de cas.


Réf. : DNDAESD05

Durée : 4 jours

Tarif : 2000 € HT



Demande de devis

Date souhaitée :
*Sous réserve de maintien de la session
Session ouverte à partir de 3 participants