Investigation numérique Windows (Computer Forensics)

Objectifs pédagogiques

• Réaliser une investigation numérique sur le système d’exploitation Windows.

Programme

Jour 1

• Etat de l’art de l’investigation numérique
• Introduction à l’investigation numérique
• Lien entre les différentes disciplines Forensics
• Méthodologie d’investigation légale (chaîne de custody, rapport et méthode OSCAR)
• Vocabulaire et taxonomie
• Les différents OS Windows
• Les fondamentaux Windows
• Fondamentaux Windows
• Système de fichiers / Arborescence
• Séquence de boot Windows
• Base de registre
• Logs (evtx, log pilotes…)
• Variables d’environnements
• Services et les différents accès (services.exe, Powershell)
• Fondamentaux FAT32
• Fondamentaux NTFS (New Technology File System)
• Exemple de travaux pratiques (à titre indicatif)
• Analyse d’un disque
• Collecte des données
• Les outils du marché (SleuthKit)
• Présentation du Framework ATT&CK du MITRE et points d’entrées des cyberattaques
• Arbres d’attaque
• Les signes de compromissions (corrélation ATT&CK)
• Collecte des données physique et virtualisation
• Présentation du Lab
• Exemple de travaux pratiques (à titre indicatif)
• Collecte de données

Jour 2

• Artefacts
• Différents artefacts Internet
• Pièces jointes
• Open / Save MRU
• Flux ADS Zone. Identifier
• Téléchargements
• Historique Skype
• Navigateurs internet
• Historique
• Cache
• Sessions restaurées
• Cookies
• Différents artefacts exécution
• UserAssist
• Timeline Windows 10
• RecentApps
• Shimcache
• Jumplist
• Amcache.hve
• BAM / DAM
• Last-Visited MRU
• Prefetch
• Différents artefacts fichiers / dossiers
• Shellbags
• Fichiers récents
• Raccourcis (LNK)
• Documents Office
• IE / Edge Files
• Différents artefacts réseau
• Termes recherchés sur navigateur
• Cookie
• Historique
• SRUM (ressource usage monitor)
• Log Wi-Fi
• Différents artefacts comptes utilisateur
• Dernières connexions
• Changement de mot de passe
• Echec / réussite d’authentification
• Evènement de service (démarrage)
• Evènement d’authentification
• Type d’authentification
• Utilisation du RDP (Remote Desktop Protocol)
• Différents artefacts USB
• Nomination des volumes
• Evènement PnP (Plug et Play)
• Numéros de série
• Différents artefacts fichiers supprimés
• Tools (recurva…)
• Récupération de la corbeille
• Thumbcache
• Thumb.db
• WordWheelQuery
• Exemples de travaux pratiques (à titre indicatif)
• Recherche d’un spear shiphing
• Retracer l’exécution d’un programme
• Découverte d’un reverse shell
• Analyse eternal blue
• Première investigation

Jour 3

• Techniques avancées
• VSS (Volume Shadow Copy Service)
• Carving
• Anti-Forensic et timestomping
• Spécificités Active Directory (AD)
• Exemple de travaux pratiques (à titre indicatif)
• Recherche d’artefact sur AD
• Introduction à Volatility
• Données volatiles
• Analyse d’un dump mémoire
• Extraction et analyse des process

Exemple de travaux pratiques (à titre indicatif)
Recherche d’un malware à l’aide de Volatility

Le contenu de ce programme peut faire l’objet d’adaptation selon les niveaux, prérequis et besoins des apprenants.