• Lieu(x) de formation : Issy-les-Moulineaux
  • Domaine(s) de compétences : Développement logiciel & cloud
OBJECTIFS DE LA FORMATION

 Acquérir des compétences générales sur l’investigation numérique.

Public concerné

Ø  Développeurs, pentesters et consultants en informatique.

Cursus

Intra / Inter

CONTENU DE LA FORMATION
Contenu du module :

Jour 1
Introduction
• Qu'est-ce que le Forensic ?
• Qu'est-ce que le Forensic numérique ?
• Les cas d'utilisation du Forensic dans une organisation
• Forensic et réponse à incident
• Obligations légales et limitations
• CERT (Computer Emergency Response Team) / CSIRT (Computer Security Incident Response Team)
Méthodologie
• Méthodologie d'investigation légale
• Audit préalable
• Enregistrements des preuves (chain of custody)
• Collecte des preuves
• Matériels d'investigation
• Logiciels d'investigation
• Protection de la collecte
• Calculs des empreintes de fichiers
• Rédaction du rapport
Investigation numérique "live"
• Méthodologie live Forensic
• Pourquoi le live ?
• Qu'est-il possible de faire ?
• Présentation de la suite Sysinternals
Investigation réseau
• Enregistrement et surveillance
• Les différents types de données
• Acquisition des preuves et sondes
• Rappel des bases du réseau
• Présentation des outils connus
• Identifier une erreur de type ARP (Adress Resolution Protocol) Storm
• Identifier une attaque DHCP (Dynamic Host Configuration Protocol) Starvation
• Identifier une attaque ARP Spoofing
• Identifier un scan réseau
• Identifier une exfiltration de données
• Identifier un téléchargement via Torrent
Jour 2
Forensic Windows
• Analyse des systèmes de fichiers
o FAT (File Allocation Table) / exFAT (Extended File Allocation Table) (court)
o NTFS ( New Technology File System)
o Timeline (MFT)
• Artefacts Système
o EVTX (Windows XML Event Log)
o Analyse base de registre
o Analyse VSC (Volume Shadow Copies)
o Autres (Jumplist, prefetch, AMcache)
• Artefacts applicatifs
• Navigateurs
• Messageries
• Skype / Onedrive / Dropbox
Jour 3
Analyse simple de Malwares
• Les menaces et leurs mécanismes
o Etat des lieux démarche et outils (file, nm, readelf...)
o Mettre en place un environnement de test
o Sandbox
o Analyse simple avec Strace, Ltrace et GDB (GNU Debugger)
o Mécanismes de persistance
o Techniques d'évasion
• Analyse mémoire sous Windows
o Principe
o Volatility
Forensic Linux
• Analyse de la mémoire vive
• Volatility avancé (ajout de plugin)
• Analyse des principaux artefacts
• Retracer la création d'un profil
• Monter une partition MBR (Master Boot Record) et GUID (Globally Unique Identifier)
• EXT / SWAP


Jour 4
• Création de la timeline et exploitation des metadatas (STK et Python)
• Analyse des logs systèmes et applications : historique, logins et droits
Investigation Web
• Analyse de logs (déclinaison top 10 OWASP)
• Analyse base de données
• Scripting Python (RegEx)
• Désobfuscation
• Cas d'usage (analyse d'une backdoor PHP)
Jour 5
Section 9
• Android
o Présentation d'Android (historique et architecture)
o Installation d'un lab (ADB, genymotion...)
o Dump mémoire
o Analyse des logs, base de données et navigateurs
o Description des valises UFED (Universal Forensic Extraction Device)
o Principe de fonctionnement
o Différentes sauvegardes réalisables
o Analyses via UFED Physical Analyzer
o Scripting avec Python
• Iphone
o Présentation IOS et architecture
o Acquisition logique
o Acquisition physique
o Jailbreak
o Analyse des différents artefacts IOS
VALIDATION DE LA FORMATION

Attestation de formation

Une question ? Un besoin d'informations complémentaires ?

Mail : contact@aforp.fr
Tel : 01 43 11 29 118

Prerequis

Ø  Connaissances généralistes en programmation, réseau et système.

Durée

5 jours

Coût

Nous consulter

MÉTHODES ET MOYENS PÉDAGOGIQUES

Moyens : Reposity et SOC pédagogiques, salles projets avec baies et équipements réseaux (switchs, routeurs, serveurs, firewall, nas). Environnements linux / windows.

MODALITÉS DE SUIVI ET D’ÉVALUATION

Modalités de suivi : Enquête de suivi à 6 mois

Modalités d'évaluation : TP/TD individuel

CONDITIONS D’ACCUEIL ET D’ACCES DES PUBLICS EN SITUATION DE HANDICAP

Veuillez consulter « notre démarche handicap »

Modalités d’inscription et d’admission
  • Modalités d'inscription : Auprès des équipes commerciales via e-mail ou inscription en ligne
  • Modalités d'admission : Bon de commande