Analyse inforensique Windows FORENSIC1 Version 2021

FORENSIC1.jpg

Résumé

Les raisons ne manquent pas de vouloir effectuer une analyse inforensique :

  • Collaborateur indélicat ayant volé des documents interne de valeur

  • Intrusion d'un poste suite à une erreur d'un utilisateur

  • Compromission d'un serveur

 

Quelle que soit la raison, FORENSIC 1 vous apprendra à analyser les différents artefacts inforensiques et finalement créer une frise chronologique de l'incident.

Contenu du cours

Jour 1

  • Présentation de l'inforensique

  • Périmètre de l'investigation

  • Trousse à outil

  • Méthodologie "First Responder"

  • Analyse Post-mortem

  • Disques durs

  • Introduction aux systèmes de fichiers

  • Horodatages des fichiers

  • Acquisition des données : Persistante et volatile

  • Gestion des supports chiffrés

  • Recherche de données supprimées

  • Sauvegardes et Volume Shadow Copies

  • Aléas du stockage flash

  • Registres Windows

  • Les structures de registres Windows

    • Utilisateurs

    • Systèmes

  • Analyse des journaux

  • Événements / antivirus / autres logiciels


Jour 2 - Scénario d'investigation

  • Téléchargement/Accès à des contenus confidentiels

  • Exécution de programmes

  • Traces de manipulation de fichiers et de dossiers

  • Fichiers supprimés et espace non alloué

  • Carving

  • Géolocalisation

  • Photographies (données Exifs)

  • Points d'accès WiFi

  • HTML5

  • Exfiltration d'informations

  • Périphérique USB

  • Courriels

  • Journaux SMTP

    • Acquisition coté serveur

    • Analyse client messagerie

  • Utilisateurs abusés par des logiciels malveillants


Jour 3 - Interaction sur Internet

  • Utilisation des Navigateurs Internet

  • IE/Edge / Firefox

  • Office 365

  • Sharepoint

  • Traces sur les AD Windows

  • Présentation des principaux artefacts

  • Bases de l'analyse de la RAM

    • Conversion des hyberfiles.sys

    • Bases Volatility/Rekall

    • Extraction des clés de chiffrement


Jour 4 - Inforensique Linux

  • Les bases de l'inforensique sur un poste de travail Linux

  • Les bases de l'inforensique sur un serveur Linux

    • Journaux serveurs Web & Corrélations avec le système de gestion de fichiers

  • Création et analyse d'une frise chronologique du système de fichier


Jour 5 - Vue d'ensemble

  • Création et analyse d'une frise chronologique enrichie d'artefacts

  • Exemple d'outil d'interrogation de gros volume de données

  • Examen de certification (QCM sur ordinateur)

Certification

A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification FORENSIC1.

 

Évaluations et sanctions de la formation

  • Quizz intermédiaires 

  • Lab technique en fin de module

  • Évaluation de satisfaction via un questionnaire pré formation, à chaud et à froid

  • Attestation de présence et de formation 

* Formation distanciel possible :

  • de votre entreprise

  • de chez vous

  • de nos locaux à Sophia Antipolis (équipement Cisco Webex Board)

Nos formations sont accessibles aux personnes en situation de handicap.

Un questionnaire envoyé en amont de la formation invite les participants à nous contacter s’ils ont besoins d’aménagements spécifiques en lien avec leur situation de handicap. Nous nous employons à rechercher, avec les personnes concernées, les moyens de compensation qui leur seront adaptés.

Pour en valider l'accès merci de nous contacter contact@formation-IT.org

Durée 

5 jours soit 35 heures

Prix Public 

3.900 € HT (examen de certification inclus)

 

Dates à Paris

(présentiel obligatoire)

  • 20 - 24 septembre 

Public concerné

  • Personnes souhaitant apprendre à réaliser des investigations numériques

  • Personnes souhaitant se lancer dans l'inforensique

  • Administrateurs système Windows

  • Experts de justice en informatique​

Objectifs pédagogiques

  • Gérer une investigation numérique sur un ordinateur Windows

  • Avoir les bases de l'analyse numérique sur un serveur Web

  • Acquérir les médias contenant l'information

  • Trier les informations pertinentes et les analyser

  • Utiliser les logiciels d'investigation numérique

  • Maîtriser le processus de réponse à incident

Pré requis 

Méthode Pédagogique

Cours magistral illustré par des travaux pratiques réguliers​.

Supports 

  • Support de cours au format papier en français

  • Ordinateur portable mis à disposition du stagiaire

  • Cahier d'exercices et corrections des exercices

  • Clé USB 64Go avec les données utilisées en travaux pratiques

  • Kit d'investigation numérique

  • Certificat attestant de la participation à la formation

Modalité d'évaluation de la formation

Fiche d'évaluation remise aux stagiaires à l'issue de la formation afin de recueillir leurs impressions et identifier d'éventuels axes d'amélioration

Délai d’accès 

Se référer aux dates figurant au planning

Sanction de la formation 

Une attestation mentionnant les objectifs, la nature et la durée de l’action et les résultats de l’évaluation des acquis de la formation sera remise au(x) stagiaire(s) à l’issue de la formation 

Sur le même thème