Un tutoriel est mis à votre disposition pour vous donner un aperçu du contenu de la formation.

Objectifs

L'investigation informatique ou analyse forensique consiste en l'utilisation de techniques spécialisées dans la collecte, l'identification, la description, la sécurisation, l'extraction, l'authentification, l'analyse, l'interprétation et l'explication de l'information numérique. Ces techniques sont mises en oeuvre quand une affaire comporte des questions relatives à l'usage d'un ordinateur et de tout autre support d'information, ainsi qu'à l'examen et l'authentification de données en faisant appel aux techniques d'analyse du fonctionnement des ordinateurs ou à la connaissance des structures de données.

Cette formation aura pour objectif de vous apporter l'expertise nécessaire pour être capable d'analyser un poste Windows suspect et retrouver des preuves numériques selon la nature de l'investigation. Vous serez familiarisés avec les différents outils forensiques disponibles et vous saurez établir les procédures d'analyse adéquates.

Des travaux pratiques seront effectués tout au long de la formation sur des systèmes Windows.

Pré-requis

Une connaissance du fonctionnement des systèmes d'exploitation (en particulier Windows) et une connaissance des langages C et assembleur sont nécessaires pour cette formation.

Informations générales
  • Code : FOW
  • Durée de la formation : 4 jours
  • Prix : 3200 euros HT
Programme

Jour 1 et 2 : Comment acquérir et analyser les données

+ "Dead" forensics (analyse de disque)
  • Le "dead" forensics : prérequis, avantages et limites d'utilisation
  • Les outils gratuits (Autopsy, etc.)
  Travaux pratiques : analyse d'un poste "mort" (i.e. ne démarre plus suite à une infection par un spyware)

+ "Live" forensics (analyse du système opérationnel)
  • Le "live" forensics : prérequis, avantages et limites d'utilisation
  • Les outils gratuits (SysInternals, etc.)
  Travaux pratiques : Analyse d'un poste compromis par un spyware

+ "Mixed" forensics (collecte et analyse de la mémoire physique)
  • Rappels sur les processeurs x86 et le fonctionnement du noyau Windows
  • Le "mixed" forensics : prérequis, avantages et limites d'utilisation
  • Les outils gratuits
  Travaux pratiques : investigation d'une intrusion par Meterpreter

Jour 3 et 4 : Quelles sont les informations à chercher et où les chercher ?

+ Inventaire des traces applicatives
  • La base de registres (timestamps, clés MRU, etc.)
  • Les fichiers prefetch, ".log", ".bak", etc
  • Les points de restauration

+ Les journaux système
  • Analyser des journaux d'évènements (Windows nt/2000/xp/2003 et Vista)
  • Reconstruire un journal effacé
  • Analyser le journal IIS
  Travaux pratiques : reconstituer une intrusion à partir d'un journal d'évènements Windows

+ Les formats spécifiques
  • Protection des formats d'archive et des formats Office
  • Métadonnées dans les formats Office, PDF, les fichiers image, audio et vidéo
  • Analyse des fichiers PST
  Travaux pratiques : suppression de la protection d'un document Office, extraction de métadonnées dans un document Office

+ La recherche de fichiers :
  • Recherche par rapport au type de fichiers (appelée « file carving »)
  • Analyse de la MFT pour récupérer les fichiers effacés
  Travaux pratiques : utilisation des outils dits de "file carving" (scalpel, photorec,..)

+ Les crash dumps suspects

  Travaux pratiques : analyse d'un log applicatif suite à l'exploitation d'une faille dans une application

+ Les exécutables suspects
  • Techniques de protection « classiques »
  Travaux pratiques : analyse d'un exécutable suspect