loader image

Investigation numérique Windows (Computer Forensics)

Code stage

SEC-WIN-FOR

Durée

21 heures | 3 jours

Z

Certification

non

Objectifs pédagogiques

  • Réaliser une investigation numérique sur le système d’exploitation Windows.

Niveau requis

Avoir des connaissances sur l'OS Windows, TCP/IP, Linux.

Public concerné

Administrateurs, analystes SOC et ingénieurs sécurité.

Programme

Jour 1

  • Etat de l’art de l’investigation numérique
  • Introduction à l’investigation numérique
  • Lien entre les différentes disciplines Forensics
  • Méthodologie d’investigation légale (chaîne de custody, rapport et méthode OSCAR)
  • Vocabulaire et taxonomie
  • Les différents OS Windows
  • Les fondamentaux Windows
  • Fondamentaux Windows
  • Système de fichiers / Arborescence
  • Séquence de boot Windows
  • Base de registre
  • Logs (evtx, log pilotes…)
  • Variables d’environnements
  • Services et les différents accès (services.exe, Powershell)
  • Fondamentaux FAT32
  • Fondamentaux NTFS (New Technology File System)
  • Exemple de travaux pratiques (à titre indicatif)
  • Analyse d’un disque
  • Collecte des données
  • Les outils du marché (SleuthKit)
  • Présentation du Framework ATT&CK du MITRE et points d’entrées des cyberattaques
  • Arbres d’attaque
  • Les signes de compromissions (corrélation ATT&CK)
  • Collecte des données physique et virtualisation
  • Présentation du Lab
  • Exemple de travaux pratiques (à titre indicatif)
  • Collecte de données

Jour 2

  • Artefacts
  • Différents artefacts Internet
  • Pièces jointes
  • Open / Save MRU
  • Flux ADS Zone. Identifier
  • Téléchargements
  • Historique Skype
  • Navigateurs internet
  • Historique
  • Cache
  • Sessions restaurées
  • Cookies
  • Différents artefacts exécution
  • UserAssist
  • Timeline Windows 10
  • RecentApps
  • Shimcache
  • Jumplist
  • Amcache.hve
  • BAM / DAM
  • Last-Visited MRU
  • Prefetch
  • Différents artefacts fichiers / dossiers
  • Shellbags
  • Fichiers récents
  • Raccourcis (LNK)
  • Documents Office
  • IE / Edge Files
  • Différents artefacts réseau
  • Termes recherchés sur navigateur
  • Cookie
  • Historique
  • SRUM (ressource usage monitor)
  • Log Wi-Fi
  • Différents artefacts comptes utilisateur
  • Dernières connexions
  • Changement de mot de passe
  • Echec / réussite d’authentification
  • Evènement de service (démarrage)
  • Evènement d’authentification
  • Type d’authentification
  • Utilisation du RDP (Remote Desktop Protocol)
  • Différents artefacts USB
  • Nomination des volumes
  • Evènement PnP (Plug et Play)
  • Numéros de série
  • Différents artefacts fichiers supprimés
  • Tools (recurva…)
  • Récupération de la corbeille
  • Thumbcache
  • Thumb.db
  • WordWheelQuery
  • Exemples de travaux pratiques (à titre indicatif)
  • Recherche d’un spear shiphing
  • Retracer l’exécution d’un programme
  • Découverte d’un reverse shell
  • Analyse eternal blue
  • Première investigation

Jour 3

  • Techniques avancées
  • VSS (Volume Shadow Copy Service)
  • Carving
  • Anti-Forensic et timestomping
  • Spécificités Active Directory (AD)
  • Exemple de travaux pratiques (à titre indicatif)
  • Recherche d’artefact sur AD
  • Introduction à Volatility
  • Données volatiles
  • Analyse d’un dump mémoire
  • Extraction et analyse des process


Exemple de travaux pratiques (à titre indicatif)
Recherche d’un malware à l’aide de Volatility


Le contenu de ce programme peut faire l’objet d’adaptation selon les niveaux, prérequis et besoins des apprenants.