Analyse inforensique Windows FORENSIC1 Version 2021

Résumé

Les raisons ne manquent pas de vouloir effectuer une analyse inforensique :

• Collaborateur indélicat ayant volé des documents interne de valeur

• Intrusion d'un poste suite à une erreur d'un utilisateur

• Compromission d'un serveur

Quelle que soit la raison, FORENSIC 1 vous apprendra à analyser les différents artefacts inforensiques et finalement créer une frise chronologique de l'incident.

​

​

Contenu du cours

Jour 1

• Présentation de l'inforensique

• Périmètre de l'investigation

• Trousse à outil

• Méthodologie "First Responder"

• Analyse Post-mortem

• Disques durs

• Introduction aux systèmes de fichiers

• Horodatages des fichiers

• Acquisition des données : Persistante et volatile

• Gestion des supports chiffrés

• Recherche de données supprimées

• Sauvegardes et Volume Shadow Copies

• Aléas du stockage flash

• Registres Windows

• Les structures de registres Windows

  • Utilisateurs

  • Systèmes

• Analyse des journaux

• Événements / antivirus / autres logiciels

Jour 2 - Scénario d'investigation

• Téléchargement/Accès à des contenus confidentiels

• Exécution de programmes

• Traces de manipulation de fichiers et de dossiers

• Fichiers supprimés et espace non alloué

• Carving

• Géolocalisation

• Photographies (données Exifs)

• Points d'accès WiFi

• HTML5

• Exfiltration d'informations

• Périphérique USB

• Courriels

• Journaux SMTP

  • Acquisition coté serveur

  • Analyse client messagerie

• Utilisateurs abusés par des logiciels malveillants

​

Jour 3 - Interaction sur Internet

• Utilisation des Navigateurs Internet

• IE/Edge / Firefox

• Office 365

• Sharepoint

• Traces sur les AD Windows

• Présentation des principaux artefacts

• Bases de l'analyse de la RAM

  • Conversion des hyberfiles.sys

  • Bases Volatility/Rekall

  • Extraction des clés de chiffrement

Jour 4 - Inforensique Linux

• Les bases de l'inforensique sur un poste de travail Linux

• Les bases de l'inforensique sur un serveur Linux

  • Journaux serveurs Web & Corrélations avec le système de gestion de fichiers

• Création et analyse d'une frise chronologique du système de fichier

Jour 5 - Vue d'ensemble

• Création et analyse d'une frise chronologique enrichie d'artefacts

• Exemple d'outil d'interrogation de gros volume de données

• Examen de certification (QCM sur ordinateur)

​

​

Certification

​

A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification FORENSIC1.

Évaluations et sanctions de la formation

• Quizz intermédiaires 

• Lab technique en fin de module

• Évaluation de satisfaction via un questionnaire pré formation, à chaud et à froid

• Attestation de présence et de formation 

​

* Formation distanciel possible :

• de votre entreprise

• de chez vous

• de nos locaux à Sophia Antipolis (équipement Cisco Webex Board)

​

Nos formations sont accessibles aux personnes en situation de handicap.

Un questionnaire envoyé en amont de la formation invite les participants à nous contacter s’ils ont besoins d’aménagements spécifiques en lien avec leur situation de handicap. Nous nous employons à rechercher, avec les personnes concernées, les moyens de compensation qui leur seront adaptés.

Pour en valider l'accès merci de nous contacter contact@formation-IT.org

​​

Durée 

5 jours soit 35 heures

​

Prix Public 

3.900 € HT (examen de certification inclus)

Dates à Paris

(présentiel obligatoire)

• 20 - 24 septembre 

​

Public concerné

• Personnes souhaitant apprendre à réaliser des investigations numériques

• Personnes souhaitant se lancer dans l'inforensique

• Administrateurs système Windows

• Experts de justice en informatique​

​

Objectifs pédagogiques

• Gérer une investigation numérique sur un ordinateur Windows

• Avoir les bases de l'analyse numérique sur un serveur Web

• Acquérir les médias contenant l'information

• Trier les informations pertinentes et les analyser

• Utiliser les logiciels d'investigation numérique

• Maîtriser le processus de réponse à incident

​

Pré requis 

• Formation SECUCYBER

• (ou) Solides bases en sécurité des systèmes d'information

​

Méthode Pédagogique

Cours magistral illustré par des travaux pratiques réguliers​.

​

Supports 

• Support de cours au format papier en français

• Ordinateur portable mis à disposition du stagiaire

• Cahier d'exercices et corrections des exercices

• Clé USB 64Go avec les données utilisées en travaux pratiques

• Kit d'investigation numérique

• Certificat attestant de la participation à la formation

​

Modalité d'évaluation de la formation

Fiche d'évaluation remise aux stagiaires à l'issue de la formation afin de recueillir leurs impressions et identifier d'éventuels axes d'amélioration

​

Délai d’accès 

Se référer aux dates figurant au planning

​

Sanction de la formation 

Une attestation mentionnant les objectifs, la nature et la durée de l’action et les résultats de l’évaluation des acquis de la formation sera remise au(x) stagiaire(s) à l’issue de la formation 

• Forensic 2

• Ethical Hacking

• CompTIA

• Sécurité Intrusion PenTest

• SecuIndus

• SecuCyber

• EssCyber

• SecuWeb

• SecuBlue

• SecuLin

• SecuPKI

• SecuPKIWIN

• SecuARCH

• Reverse 1

• DNSSEC

• ELASTICSEARCH

• SPLUNK

Sur le même thème