Investigation numérique – Méthodologie d’investigation sur OS Windows
Vous souhaitez mettre en place cette e-formation pour vos apprenants ? Nos équipes sont là pour vous aider.
Objectifs de la formation
L’investigation numérique est une discipline indispensable à la qualification d’incidents de sécurité ainsi qu’à la remédiation de données ciblées.
L’objectif de ce cours est de vous familiariser avec les techniques et méthodologies d’investigation sur un environnement Windows, tout en développant la collecte de données spécifiques dites « artefacts ».
Pré-requis
Public :
Informaticiens
Contenu de la formation
Cours
Ce module vous propose la consultation d’une vidéo d’une durée de 0h01.
Présentation du cours
- Présentation du cours
Cours
Ce module vous propose la consultation d’une vidéo d’une durée de 0h21.
Etat de l’art de l’investigation numérique
- Objectif du module
- Introduction et taxonomie
- Les différentes disciplines
- Signes de compromission (IOC)
- Méthodologie d’investigation
- Conclusion du module
Cours
Ce module vous propose la consultation d’une vidéo d’une durée de 1h13.
Les fondamentaux Windows
- Objectifs du module
- Structure des répertoires
- Séquence de boot
- Bases de registres
- Logs et événements
- Variables d’environnement
- Services
- Volume Shadow Copy Service
- Démonstration – Montage d’un volume VSS
- Fondamentaux disque et système NTFS
- Démonstration – Analyse d’un disque avec Active@ Disk Editor
- Énoncé du TP – Analyse d’un disque avec Active@ Disk Editor
- Énoncé du TP – Questionnaire
Cours
Ce module vous propose la consultation d’une vidéo d’une durée de 3h29
Collecte de données et artefacts
- Objectifs du module
- Principe et imaging
- Les outils d’analyse
- Live Forensic
- Démonstration – Explication d’un script PowerShell Live Forensic
- Fichiers essentiels et $MFT
- Démonstration – Plan de travail, registres, extraction et analyse de la $MFT
- Artefacts Internet
- Démonstration – Les artefacts internet
- Artefacts d’exécution
- Démonstration – Les artefacts d’exécution
- Artefacts de fichiers/dossiers
- Démonstration – Les artefacts de fichiers/dossiers
- Artefacts réseau
- Démonstration – Les artefacts réseau
- Artefacts utilisateurs
- Démonstration – Les artefacts utilisateurs
- Artefacts USB
- Démonstration – Les artefacts USB
- Artefacts fichiers supprimés
- Démonstration – Les artefacts fichiers supprimés
- Spécificités Active Directory
- Énoncé du TP – Première investigation
- Démonstration – Autopsy
- Démonstration – Kape
- Énoncé du TP – Deuxième investigation
- Conclusion du module
Cours
Ce module vous propose la consultation d’une vidéo d’une durée de 0h23.
Anti-Forensic
- Objectifs du module
- Principes de l’anti-forensic
- Les différents outils et techniques
- Démonstration – Timestomp.exe
- Énoncé du TP – Timestomp : altération de l’horodatage de la $MFT
- Conclusion du cours