• Lieu(x) de formation :
  • Domaine(s) de compétences : Développement logiciel & cloud
OBJECTIFS DE LA FORMATION

Ø  Fournir les compétences et connaissances requises pour réaliser des investigations numériques sous Windows.

Public concerné

Ø  Administrateurs réseaux et systèmes, RSSI, pentesters, auditeurs.

Cursus

Intra / Inter

CONTENU DE LA FORMATION
Contenu du module :

1. Etat de l'art de l'investigation numérique
• Introduction à l'investigation numérique
• Lien entre les différentes disciplines Forensics
• Méthodologie d'investigation légale (chaîne de custody, rapport et méthode OSCAR)
• Vocabulaire et taxonomie
• Les différents OS Windows
2. Les fondamentaux Windows
• Fondamentaux Windows
o Système de fichiers / Arborescence
o Séquence de boot Windows
o Base de registre
o Logs (evtx, log pilotes...)
o Variables d'environnements
• Services et les différents accès (services.exe, Powershell)
• Fondamentaux FAT32
• Fondamentaux NTFS (New Technology File System)
3. Collecte des données
• Les outils du marché (SleuthKit)
• Présentation du Framework ATT&CK du MITRE et points d'entrées des cyberattaques
• Arbres d'attaque
• Les signes de compromissions (corrélation ATT&CK)
• Collecte des données physique et virtualisation
• Présentation du Lab


4. Artefacts
• Différents artefacts Internet
o Pièces jointes
o Open / Save MRU
o Flux ADS Zone. Identifier
o Téléchargements
o Historique Skype
o Navigateurs internet
o Historique
o Cache
o Sessions restaurées
o Cookies
• Différents artefacts exécution
o UserAssist
o Timeline Windows 10
o RecentApps
o Shimcache
o Jumplist
o Amcache.hve
o BAM / DAM
o Last-Visited MRU
o Prefetch
• Différents artefacts fichiers / dossiers
o Shellbags
o Fichiers récents
o Raccourcis (LNK)
o Documents Office
o IE / Edge Files


• Différents artefacts réseau
o Termes recherchés sur navigateur
o Cookie
o Historique
o SRUM (ressource usage monitor)
o Log Wi-Fi
• Différents artefacts comptes utilisateur
o Dernières connexions
o Changement de mot de passe
o Echec / réussite d'authentification
o Evènement de service (démarrage)
o Evènement d'authentification
o Type d'authentification
o Utilisation du RDP (Remote Desktop Protocol)
• Différents artefacts USB
o Nomination des volumes
o Evènement PnP (Plug et Play)
o Numéros de série
• Différents artefacts fichiers supprimés
o Tools (recurva...)
o Récupération de la corbeille
o Thumbcache
o Thumb.db
o WordWheelQuery
Techniques avancées
• VSS (Volume Shadow Copy Service)
• Carving
• Anti-Forensic et timestomping
• Spécificités Active Directory (AD)
Introduction à Volatility
• Données volatiles
• Analyse d'un dump mémoire
• Extraction et analyse des process
VALIDATION DE LA FORMATION

Attestation de formation

Une question ? Un besoin d'informations complémentaires ?

Mail : contact@aforp.fr
Tel : 01 43 11 29 121

Prerequis

Ø  Avoir de bonnes connaissances réseaux & systèmes. Connaître les techniques de hacking et de sécurité. Posséder des bases dans la sécurité des systèmes Windows. Connaître le fonctionnement d'un réseau.

Durée

3 jours

Coût

Nous consulter

MÉTHODES ET MOYENS PÉDAGOGIQUES

Moyens : Reposity et SOC pédagogiques, salles projets avec baies et équipements réseaux (switchs, routeurs, serveurs, firewall, nas). Environnements linux / windows.

MODALITÉS DE SUIVI ET D’ÉVALUATION

Modalités de suivi : Enquête de suivi à 6 mois

Modalités d'évaluation : TP/TD individuel

CONDITIONS D’ACCUEIL ET D’ACCES DES PUBLICS EN SITUATION DE HANDICAP

Veuillez consulter « notre démarche handicap »

Modalités d’inscription et d’admission
  • Modalités d'inscription : Auprès des équipes commerciales via e-mail ou inscription en ligne
  • Modalités d'admission : Bon de commande