Inforensique : les bases d'une analyse post-mortem

FOR_1705-0011

Inforensique : les bases d'une analyse post-mortem

Objectifs:

  • Gérer une investigation numérique sur un ordinateur
  • Acquérir les médias contenant l'information
  • Trier les informations pertinentes et les analyser
  • Utiliser les logiciels d'investigation

Public:

  • Toute personne souhaitant se lancer dans l'inforensique
  • Premier pas dans l'investigation numérique

Durée:

35 heures

Programme:

Jour 1

  • L'inforensique

  • Présentation de l'inforensique

  • Périmètre de l'investigation

  • Trousse à outil

  • Méthodologie "First Responder"

  • Analyse Post-mortem

  • Les disques durs

  • Introduction aux systèmes de fichiers

  • Horodatages des fichiers

  • Acquisition des données persistantes et volatiles

  • Gestion des supports chiffrés

  • Recherche de données supprimées

  • Sauvegardes et Volume Shadow Copies

  • Aléas du stockage flash

  • Registres Windows

  • Les structures de registres Windows

    • Utilisateurs

    • Systèmes

  • Analyse des journaux

  • Évènements / antivirus / autres logiciels

Jour 2 - Scénarii d'investigation

  • Téléchargement/Accès à des contenus confidentiels

  • Exécution de programmes

  • Traces de manipulation de fichiers et de dossiers

  • Fichiers supprimés et espace non alloué

  • Carving

  • Géolocalisation

  • Photographies (données Exifs)

  • Points d'accès WiFi

  • HTML5

  • Exfiltration d'informations

  • Périphérique USB

  • Courriels

    • Journaux SMTP

    • Acquisition coté serveur

    • Analyse client messagerie

  • Utilisateurs abusés par des logiciels malveillants

Jour 3 - Interaction sur Internet

  • Utilisation des Navigateurs Internet

  • IE/Edge / Firefox

  • Chrome / Opera

  • Outil de communications/collaboratifs

  • Slack / Skype / Pinyin

  • Messenger / Telegram

  • Présentation des principaux artefacts

  • Systèmes OSX

  • Systèmes Linux

Jour 4 - Inforensique réseau

  • Pourquoi et comment faire de l'Inforensique réseau

  • Avantages, faiblesses, complémentarité et limites

  • Différents type de preuves et de sources de données réseaux

  • (Journaux, PCAP, Ne low; DNS, Parefeu, Proxy, Switch, Routeur, Syslog, etc...)

  • Exemple d'évènements créés par un scénario simple

  • Analyse de journaux DNS, DHCP, Proxy, pare-feu

  • Analyse de paquets

  • Réduc on de données

  • Les protocoles standards, les autres et les RFCs

  • Caractéristiques des C&C et influence sur les données réseaux

  • Canaux de contrôle et d'exfiltration (tunneling / asynchrone / pulling)

  • Éléments de reconnaissance / signature

Jour 5 - Vue d'ensemble

  • Création et analyse d'une frise chronologique

  • Corrélation d'évènements

  • Certification (QCM)

  • Examen


Parcours de formation disponibles sur demande

Sensibilisation pour tous par l'Agence Nationale de Sécurité des Systèmes d'Information

SecNumAcademie - Formation à la Cybersécurité...

par ANSSI_FR

A découvrir sur le site de L’agence nationale de la sécurité des systèmes d'information (ANSSI)

Le MOOC (Massive Open Online Course) SecNumAcademie – La nouvelle formation en ligne met la cybersécurité à la portée de tous


Pour aller plus loin

Ressources