Forensique Windows

BT210

Sommaire

Description

La forensique Windows est une compétence essentielle dans le monde de la cybersécurité. Elle couvre un large spectre d’aspects du processus d’investigation cyberforensique effectué sur le système d’exploitation Windows. Les participants apprendront comment fonctionnent les différents composants d’un ordinateur et comment mener une enquête après un cyberincident. La formation est axée sur le développement des capacités pratiques des équipes de police scientifique ou des praticiens individuels dans ces domaines :

  • Recherche de preuves sur le disque dur
  • Traitement des fichiers cachés invisibles ou inaccessibles contenant des informations sur l’utilisation passée
  • Analyse forensique sur un ordinateur pour révéler des détails d’utilisation, récupérer des données et effectuer une inspection complète après que la machine ait été défragmentée ou formatée.

Comment réussir au mieux ce cours

Pour réussir ce cours, il vous faudra :

  • Participer à l’ensemble des labos
  • Produire du travail personnel entre les cours
  • Exécuter les exercices, s’auto-former, réaliser les tâches demandées, etc.

Outre une participation active au cours, le participant doit fournir au moins 10h de travail personnel durant la semaine de cours afin d’acquérir une expérience pratique dans les domaines enseignés.
Le participant doit également posséder un ordinateur personnel capable de faire tourner un système virtuel avec une connexion Internet stable (voir ci-dessous pour plus de détails).

Public cible

Ce cours s’adresse aux participants ayant des connaissances de base en informatique ou en réseau, qui souhaitent avoir une compréhension plus approfondie des enquêtes cybernétiques et du processus d’enquête légale.

  • Agents des services de police et de renseignement
  • Intervenants en cas d’incident 
  • Enquêteurs informatiques
  • Administrateurs informatiques et de réseaux.

Objectifs

  • Accès aux fichiers cachés dans le système et extraction d’informations pertinentes
  • Maîtriser les étapes de la réponse aux incidents
  • Analyser les études de cas pertinentes

Prérequis

Cours ThinkCyber niveau 1

Syllabus

Description

Le premier module portera sur les différents composants du matériel informatique. Les participants apprendront les principaux composants des disques de stockage, la structure du système d’exploitation Windows, et enfin, les participants installeront leurs premières stations virtuelles d’enquête forensique.

Contenu technique

  • Lecteurs et disques
    o L’anatomie d’une conduite
    o Taille des données
    ▪ Représentation des données
    ▪ Hexadécimal
    ▪ ASCII
    ▪ Binaire
    o Volumes et partitions
    o Le partitionnement des disques et l’outil de gestion des disques
    ▪ MBR vs. GPT
    ▪ Comprendre l’UEFI
    ▪ L’APH
    o Caractéristiques du Solid State Drive (SSD)
    – Comprendre la structure du système d’exploitation Windows
    o Le système de fichiers
    o FAT
    ▪ Structure du FAT
    ▪ Attribution et suppression de fichiers
    o NTFS
    ▪ Structure du NTFS
    ▪ Volume Boot Record
    ▪ Tableau des fichiers maîtres
    o Le cryptage EFS
    o Structure du répertoire Windows
  • Virtualisation d’un poste de travail de cyberforensique
    o Mise en place d’une machine virtuelle
    o Installation et configuration de la VM
    o Préparer l’environnement ».

Description

Ce module exposera les participants aux composants internes du système d’exploitation Windows. Les participants découvriront des outils qui les aideront dans le processus d’enquête forensique.

Contenu technique

  • Comprendre les hashs et les encodages
    o Le hash en tant que signature numérique
    o L’utilisation du hash pour la police scientifique
    o Encodages de base
    – Artefacts de Windows
    o Fichiers de démarrage
    o Liste de saut
    o Cache des vignettes
    o Copie fictive
    o Annuaires de prérecherche et de travail temporaire
    o Applications récentes
    o Ruches du registre
  • Mots de passe Windows
    o Contourner la protection de Windows
    o Cryptage dans le système d’exploitation Windows
    ▪ Casier à morsures
    ▪ NTLM
    ▪ Kerberos
    o Craquage des mots de passe Windows
    o Craquage des mots de passe RAR/ZIP
    – Structure des données et des fichiers
    o Outils d’édition hexadécimale
    ▪ WinHex
    ▪ HxD
    o Structure des dossiers
    ▪ En-têtes et bande-annonce
    ▪ Numéro magique
    o Métadonnées intégrées
    o Travailler avec les Clusters
    ▪ Slack Space
    ▪ Espaces non alloués et alloués

Description

Au cours de ce module, les participants maîtriseront les techniques de collecte de preuves, d’accès et de récupération d’informations volatiles et non volatiles. Les participants apprendront les techniques de collecte de preuves, d’accès et de récupération d’informations volatiles et non volatiles.

Contenu technique

  • Découpage de données forensiques
    o Utilisation de l’HxD pour le découpage forensique
    ▪ Découpage de fichiers à partir d’un fichier existant
    o Outils automatiques de découpage de fichiers
    ▪ Premier
    ▪ Scalpel
    ▪ Extracteur de vrac
    – Collecte d’informations
    o Preuve de l’exécution du programme
    ▪ Extraction des artefacts du registre
    ▪ Visionneuse d’événements
    ▪ La politique d’audition
    ▪ Métadonnées du système Windows
    o Détection de fichiers cachés à l’aide du SDA
    o Archives auto-extractibles (SFX)
    o Collecte d’informations sur les réseaux
    ▪ Informations sur le réseau
    ▪ Connexions aux réseaux
    o Outils forensiques de la série Sysinternals-Suite
    o Extraction des justificatifs d’identité à l’aide de NirSoft
  • Acquisition de données sur les lecteurs
    o Introduction à FTK-Imager
    ▪ Exploration des fichiers système
    ▪ Créer une image
    ▪ DD comme outil alternatif de capture d’images
    o Capturer la mémoire volatile
    ▪ Capturer un dossier de mémoire
    ▪ Méthodes et techniques de capture
    ▪ Pagefile
    ▪ Hiberfil.sys

Description

Dans ce module, les participants comprendront comment découvrir des informations cachées, détecter des fichiers altérés, travailler avec la mémoire et analyser la RAM.

Contenu technique

  • Analyser les images capturées
    o Caractéristiques du FTK
    ▪ Extraction de fichiers protégés
    ▪ Monter une image comme un lecteur
    ▪ Capture de la mémoire volatile
    o Décharge de MFT
    ▪ Identifier les menaces potentielles
    ▪ Visualisation d’une reconstruction MFT à l’aide de DMDE
    o Analyser les fichiers de prérecherche
    o Reconstruire Explorer avec ShellBags
  • Travailler avec la mémoire volatile
    o Extraction des données de la mémoire vive
    o Identifier les connexions de réseau
    o Processus de vidage de la mémoire
  • Analyse du registre
    o Utilisation de AccessData Registry Viewer pour analyser les décharges du registre
    o Trouver des informations sur les utilisateurs en utilisant Ntuser.dat et usrclass.dat
    o Utiliser le CLI pour accéder au registre
    o Extraction des données du registre
    o Résultats de la police scientifique dans le registre
  • Techniques anti-forensiques
    o Essuyage des disques
    o Méthodes sténographiques avancées
    o Techniques d’obscurcissement des fichiers
    o Falsification des données
    o Cryptage des lecteurs et des fichiers
    o Suppression des artefacts.

Description

Les participants étudieront différents rapports forensiques préparés par des enquêteurs à la suite d’incidents passés et apprendront à rédiger un rapport professionnel, y compris les points à prendre en compte lors de la documentation des conclusions d’un événement.

Contenu technique

  • Introduction à la rédaction de rapports
    o Identification du dispositif
    o Préservation des données
    o Rassembler des preuves
    o Examen et analyse
    o Documentation
    o Présentation des preuves
    o Lignes directrices finales

Labos

Les labos suivants font partie du cours BT210 :

  • Labo 1 Virtualisation du poste de travail de cyberforensique
  • Labo 2 Comprendre les haches et les cryptages
  • Labo 3 Utilisation des artefacts
  • Labo 4 Comprendre les authentifications Windows
  • Labo 5 Structure des données et des fichiers
  • Labo 6 Découpage des données forensiques
  • Labo 7 Collecte d’informations sur Windows
  • Labo 8 Acquisition de données sur les lecteurs
  • Labo 9 Analyse des images capturées
  • Labo 10 Travailler avec la mémoire volatile
  • Labo 11 Analyse du registre
  • Labo 12 Rapport forensique

Etudes de cas réels

Etude de cas #1 (WF001)
Une petite société financière nommée Bitsafe a été victime d'une attaque. Les incidents ont causé la perte de 130 000 dollars, en exploitant et en falsifiant la signature numérique d'une transaction entre clients, permettant à l'attaquant de rompre la communication encodée avec l'algorithme SHA-1.
Reference
Etude de cas #2 (WF002)
La société Cellebrite, qui fournit des outils et des logiciels de cyberforensique, a été piratée. Le hacker a réussi à extraire 100 Go de photos contenant des preuves d'enquêtes policières. Le hacker n'a encore rien rendu public des archives de données volées, qui comprennent des informations sur les clients, des bases de données et d'autres données techniques.
Reference
Diapositive précédente
Diapositive suivante
BT210

 Type de Cours

Le participant peut bénéficier d’un des deux modes de cours :

  • Une classe de cours virtuelle avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena
  • Des cours in situ avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena

Cependant, en raison des restrictions sanitaires, l’ensemble des cours se fait sous la forme de classes virtuelles.

Toutes les sessions sont enregistrées et peuvent être re-visionnées pendant 30 jours.

Tout le matériel de cours  est mis à disposition du participant sous  forme électronique, couvrant les syllabus, les labos, et les études de cas.

ium A

GroupE de cours: Défense

NIVEAU
0%
HEURES
1

  Entre Pratique et Théorie

Notre approche de la formation est éminemment pratique et vise à permettre au participant d’appliquer dans un contexte pratique les connaissances qu’il acquiert.
Pratique
1 %
Labos
1
Etudes de cas
1

Certification

Ce cours prépare aux certifications suivantes :

  • GCIH (SANS)
  • CHFI (EC|Council)

Équipement requis

Connexion réseau

Comme ce cours est essentiellement fondé sur un Learning Managament
System (LMS), incluant une arène pour les labos, les participants ont besoin d’une connexion fiable à Internet.

Apporter votre propre matériel

Le cours étant principalement basé sur la pratique, les participants doivent avoir un ordinateur portable avec :

  • L’audio et la vidéo
  • 8 GB RAM
  • 200 GB d’espace disque
  • La capacité d’un environnement virtuel (capable de faire tourner
    la dernière version de Virtualbox ou un simulateur de machine virtuelle
    équivalent)

Et bien sûr un bon kit casque/micro.

Plus de détails ici

Inscription