Formation Analyse Inforensique Windows Gérer une investigation numérique sur un ordinateur Windows

Après une attaque informatique, l’investigation inforensic permet de collecter et d’analyser des éléments ayant valeur de preuve en vue d’une procédure judiciaire.

L’objectif principal de cette formation Analyse Infosrensique Windows est donc la récupération et l’analyse de données prouvant un délit numérique.

Objectif opérationnel : 

Savoir maîtriser le processus Inforensique Windows.

Objectifs pédagogiques : 

À l'issue de cette formation Analyse Inforensique Windows vous aurez acquis les connaissances et les compétences nécessaires pour : 

• Gérer une investigation numérique sur un ordinateur Windows
• Avoir les bases de l'analyse numérique sur un serveur Web
• Acquérir les médias contenant l'information
• Trier les informations pertinentes et les analyser
• Utiliser les logiciels d'investigation numérique
• Maîtriser le processus de réponse à incident

Public :

Ce cours Inforensic Windows s'adresse aux personnes souhaitant apprendre à réaliser des investigations numériques, aux administrateurs système windows ou aux experts de justice en informatique.

Prérequis :

Pour participer à cette formation Analyse Inforensique Windows, il est nécessaire d'avoir suivi la formation Fondamentaux et techniques de la SSI (SFSI) ou d'avoir de solides bases en sécurité des systèmes d'information.

Jour 1 : Présentation de l'Inforensique

Périmètre de l'investigation
Trousse à outils
Méthodologie "First Responder"

Analyse Post-mortem 

Les disques durs
Introduction aux systèmes de fichiers
Horodatages des fichiers
Acquisition des données : persistantes et volatiles
Gestion des supports chiffrés
Recherche de données supprimées
Sauvegardes et Volume Shadow Copies 
Aléas du stockage flash 

Registres Windows 

Les structures de registres Windows :
- Utilisateurs
- Systèmes 

Analyse des journaux 

Évènements / antivirus / autres logiciels 

Jour 2 : Scénario d'investigation forensique

Téléchargement / Accès à des contenus confidentiels

Exécution de programmes
Traces de manipulation de fichiers et de dossiers
Fichiers supprimés et espace non allouéCarving 

Géolocalisation 

Photographies (données Exifs)
Points d'accès WiFi
HTML5 

Exfiltration d'informations 

Périphérique USB
Courriels 
Journaux SMTP :
- Acquisition coté serveur
- Analyse client messagerie

Utilisateurs abusés par des logiciels malveillants  

Jour 3 : Interaction sur Internet 

Utilisation des navigateurs internet 

Internet Explorer IE / Edge / Firefox
Chrome / Opera 

Outils de communication - Outils collaboratifs 

Office 365
SharePoint
Traces sur les AD Windows

Présentation des principaux artefacts 

Bases de l'analyse de la RAM :
- Conversion des hyberfiles.sys
- Bases Volatibility/Rekall
- Extraction des clés de chiffrement

Jour 4 : Inforensique Linux

Les bases de l'inforensique sur un poste de travail Linux
Les bases de l'inforensique sur un serveur Linux :
- Journaux serveurs Web
- Corrélations avec le système de gestion de fichiers
Création et analyse d'une frise chronologique du système de fichier

Jour 5 : Vue d'ensemble 

Création et analyse d'une frise chronologique enrichie d'artefacts
Exemple d'outil d'interrogation de gros volumes de données