Investigation numérique Windows (Computer Forensics)
Code stage
SEC-WIN-FOR
Durée
21 heures | 3 jours
Certification
non
Objectifs pédagogiques
- Réaliser une investigation numérique sur le système d’exploitation Windows.
Niveau requis
Avoir des connaissances sur l'OS Windows, TCP/IP, Linux.
Public concerné
Administrateurs, analystes SOC et ingénieurs sécurité.
Programme
Jour 1
- Etat de l’art de l’investigation numérique
- Introduction à l’investigation numérique
- Lien entre les différentes disciplines Forensics
- Méthodologie d’investigation légale (chaîne de custody, rapport et méthode OSCAR)
- Vocabulaire et taxonomie
- Les différents OS Windows
- Les fondamentaux Windows
- Fondamentaux Windows
- Système de fichiers / Arborescence
- Séquence de boot Windows
- Base de registre
- Logs (evtx, log pilotes…)
- Variables d’environnements
- Services et les différents accès (services.exe, Powershell)
- Fondamentaux FAT32
- Fondamentaux NTFS (New Technology File System)
- Exemple de travaux pratiques (à titre indicatif)
- Analyse d’un disque
- Collecte des données
- Les outils du marché (SleuthKit)
- Présentation du Framework ATT&CK du MITRE et points d’entrées des cyberattaques
- Arbres d’attaque
- Les signes de compromissions (corrélation ATT&CK)
- Collecte des données physique et virtualisation
- Présentation du Lab
- Exemple de travaux pratiques (à titre indicatif)
- Collecte de données
Jour 2
- Artefacts
- Différents artefacts Internet
- Pièces jointes
- Open / Save MRU
- Flux ADS Zone. Identifier
- Téléchargements
- Historique Skype
- Navigateurs internet
- Historique
- Cache
- Sessions restaurées
- Cookies
- Différents artefacts exécution
- UserAssist
- Timeline Windows 10
- RecentApps
- Shimcache
- Jumplist
- Amcache.hve
- BAM / DAM
- Last-Visited MRU
- Prefetch
- Différents artefacts fichiers / dossiers
- Shellbags
- Fichiers récents
- Raccourcis (LNK)
- Documents Office
- IE / Edge Files
- Différents artefacts réseau
- Termes recherchés sur navigateur
- Cookie
- Historique
- SRUM (ressource usage monitor)
- Log Wi-Fi
- Différents artefacts comptes utilisateur
- Dernières connexions
- Changement de mot de passe
- Echec / réussite d’authentification
- Evènement de service (démarrage)
- Evènement d’authentification
- Type d’authentification
- Utilisation du RDP (Remote Desktop Protocol)
- Différents artefacts USB
- Nomination des volumes
- Evènement PnP (Plug et Play)
- Numéros de série
- Différents artefacts fichiers supprimés
- Tools (recurva…)
- Récupération de la corbeille
- Thumbcache
- Thumb.db
- WordWheelQuery
- Exemples de travaux pratiques (à titre indicatif)
- Recherche d’un spear shiphing
- Retracer l’exécution d’un programme
- Découverte d’un reverse shell
- Analyse eternal blue
- Première investigation
Jour 3
- Techniques avancées
- VSS (Volume Shadow Copy Service)
- Carving
- Anti-Forensic et timestomping
- Spécificités Active Directory (AD)
- Exemple de travaux pratiques (à titre indicatif)
- Recherche d’artefact sur AD
- Introduction à Volatility
- Données volatiles
- Analyse d’un dump mémoire
- Extraction et analyse des process
Exemple de travaux pratiques (à titre indicatif)
Recherche d’un malware à l’aide de Volatility
Le contenu de ce programme peut faire l’objet d’adaptation selon les niveaux, prérequis et besoins des apprenants.