Investigation numérique (Computer Forensics)

Objectifs

Acquérir des compétences générales sur l'investigation numérique

Programme de la formation

Jour 1
Introduction
Qu'est-ce que le Forensic ?
Qu'est-ce que le Forensic numérique ?
Les cas d'utilisation du Forensic dans une organisation
Forensic et réponse à incident
Obligations légales et limitations
CERT (Computer Emergency Response Team) / CSIRT (Computer Security Incident Response Team)
Méthodologie
Méthodologie d'investigation légale
Audit préalable
Enregistrements des preuves (chain of custody)
Collecte des preuves
Matériels d'investigation
Logiciels d'investigation
Protection de la collecte
Calculs des empreintes de fichiers
Rédaction du rapport
Investigation numérique "live"
Méthodologie live Forensic
Pourquoi le live ?
Qu'est-il possible de faire ?
Présentation de la suite Sysinternals
Investigation réseau
Enregistrement et surveillance
Les différents types de données
Acquisition des preuves et sondes
Rappel des bases du réseau
Présentation des outils connus
Identifier une erreur de type ARP (Adress Resolution Protocol) Storm
Identifier une attaque DHCP (Dynamic Host Configuration Protocol) Starvation
Identifier une attaque ARP Spoofing
Identifier un scan réseau
Identifier une exfiltration de données
Identifier un téléchargement via Torrent
Exemple de travaux pratiques (à titre indicatif)
Trouver des attaques de types ARP Spoofing
Jour 2
Forensic Windows
Analyse des systèmes de fichiers
FAT (File Allocation Table) / exFAT (Extended File Allocation Table) (court)
NTFS ( New Technology File System)
Timeline (MFT)
Artefacts Système
EVTX (Windows XML Event Log)
Analyse base de registre
Analyse VSC (Volume Shadow Copies)
Autres (Jumplist, prefetch, AMcache)
Artefacts applicatifs
Navigateurs
Messageries
Skype / Onedrive / Dropbox
Exemple de travaux pratiques (à titre indicatif)
Trouver une intrusion via une attaque par Spear Phishing
Jour 3
Analyse simple de Malwares
Les menaces et leurs mécanismes
Etat des lieux démarche et outils (file, nm, readelf...)
Mettre en place un environnement de test
Sandbox
Analyse simple avec Strace, Ltrace et GDB (GNU Debugger)
Mécanismes de persistance
Techniques d'évasion
Analyse mémoire sous Windows
Principe
Volatility
Forensic Linux
Analyse de la mémoire vive
Volatility avancé (ajout de plugin)
Analyse des principaux artefacts
Retracer la création d'un profil
Monter une partition MBR (Master Boot Record) et GUID (Globally Unique Identifier)
EXT / SWAP
Exemple de travaux pratiques (à titre indicatif)
Analyser un simple Malwares
Jour 4
Création de la timeline et exploitation des metadatas (STK et Python)
Analyse des logs systèmes et applications : historique, logins et droits
Investigation Web
Analyse de logs (déclinaison top 10 OWASP)
Analyse base de données
Scripting Python (RegEx)
Désobfuscation
Cas d'usage (analyse d'une backdoor PHP)
Exemple de travaux pratiques (à titre indicatif)
Détecter une attaque SQLI (SQL Injection)
Jour 5
Section 9
Android
Présentation d'Android (historique et architecture)
Installation d'un lab (ADB, genymotion...)
Dump mémoire
Analyse des logs, base de données et navigateu

Validation et sanction

-

Type de formation

Non certifiante

Sortie

Information non communiquée