Forensics Windows

Durée
12 heures

Description
Grace à cette formation, vous aurez les qualifications nécessaires pour identifier les traces laissées lors de l’intrusion d’un système informatique et effectuer de l’investigation sur les différents supports numériques. Vous apprendrez comment collecter correctement les preuves nécessaires à des poursuites judiciaires. Vous saurez aussi comment acquérir de l’expérience sur les différentes techniques d’investigation et l’acquisition de preuve, dans la gestion et l’analyse de façon légale. Illustrée par de nombreuses démonstrations, cette formation est interactive et permet de découvrir la marche à suivre et tous les outils nécessaires pour être prêt à étudier efficacement toute situation : intrusion, fuite d’information, actions malveillantes d’un employé curieux.

Objectifs

• Comprendre les méthodes et procédures d’investigations numériques,
• Exploitation des preuves disponibles sur les ordinateurs,
• Identifier et analyser les traces laissées lors de l’intrusion dans un système informatique,
• Collecter correctement les preuves nécessaires à des poursuites judiciaires,
• Collecter et Analyser des informations à des fins d’investigation,
• Bypasser les protections,
• Tracking, Retrouver les traces : personnes ou journaux.

Prérequis
Bonnes connaissances en sécurité informatique et en réseaux/systèmes. Public concerné
Ingénieurs/administrateurs systèmes et réseaux, responsables de la sécurité.

PROGRAMME DE FORMATION

L’analyse forensic d’un système

• Informatique judiciaire.
• Les types de crimes informatiques.
• Rôle de l’enquêteur informatique.

La cybercriminalité moderne

• Types de criminalité.
• Cadre de gestion d’un incident de sécurité, CERT.
• Mise en place des labs : outils nécessaires pour l’investigation des systèmes windows.
• Analyser et comprendre les attaques des systèmes Windows.
• Détection réseau d’intrusions.
• Outils de protection, législation française.

Travaux pratiques: Analyse réseaux d’attaques DDOS, d’infection, et de traffic BotNet vers C2.

La preuve numérique

• Définition, rôle, types et règles de classement.
• Evaluer et sécuriser les éléments électroniques d’une scène de crime.
• Collecter et préserver l’intégrité des preuves électroniques.

Travaux pratiques Dupliquer les données bit à bit, vérifier l’intégrité. Récupérer les fichiers supprimés et/ou cachés. Analyse des données numériques.

Analyse forensic d’un système d’exploitation Windows

• Acquisition, analyse et réponse.
• Compréhension des processus de démarrage.
• Collecter les données volatiles et non volatiles.
• Fonctionnement du système de mots de passe, des registres Windows.
• Analyse des données contenues dans la mémoire vive, des fichiers Windows.
• Analyse du cache, cookie et historique de navigation, historique des événements.

Travaux pratiques Casser le mot de passe. Collecter, analyser les données de la mémoire vive. Référencer, faire le hash de tous les fichiers. Explorer les données du navigateur, du registre. Investigation sur une image réelle d’un système compromis et diagnostic de l’attaque.

Rapports d’investigation forensic

• Comprendre l’importance des rapports d’investigation.
• Méthodologies de rédaction et templates des rapports d’audit forensic.