Description

Le premier module portera sur les différents composants du matériel informatique. Les participants apprendront les principaux composants des disques de stockage, la structure du système d’exploitation Windows, et enfin, les participants installeront leurs premières stations virtuelles d’enquête forensique.

Contenu technique

• Lecteurs et disques
  o L’anatomie d’une conduite
  o Taille des données
  Représentation des données
  Hexadécimal
  ASCII
  Binaire
  o Volumes et partitions
  o Le partitionnement des disques et l’outil de gestion des disques
  MBR vs. GPT
  Comprendre l’UEFI
  L’APH
  o Caractéristiques du Solid State Drive (SSD)
  – Comprendre la structure du système d’exploitation Windows
  o Le système de fichiers
  o FAT
  Structure du FAT
  Attribution et suppression de fichiers
  o NTFS
  Structure du NTFS
  Volume Boot Record
  Tableau des fichiers maîtres
  o Le cryptage EFS
  o Structure du répertoire Windows
• Virtualisation d’un poste de travail de cyberforensique
  o Mise en place d’une machine virtuelle
  o Installation et configuration de la VM
  o Préparer l’environnement ».
  

Description

Ce module exposera les participants aux composants internes du système d’exploitation Windows. Les participants découvriront des outils qui les aideront dans le processus d’enquête forensique.

Contenu technique

• Comprendre les hashs et les encodages
  o Le hash en tant que signature numérique
  o L’utilisation du hash pour la police scientifique
  o Encodages de base
  – Artefacts de Windows
  o Fichiers de démarrage
  o Liste de saut
  o Cache des vignettes
  o Copie fictive
  o Annuaires de prérecherche et de travail temporaire
  o Applications récentes
  o Ruches du registre
• Mots de passe Windows
  o Contourner la protection de Windows
  o Cryptage dans le système d’exploitation Windows
  Casier à morsures
  NTLM
  Kerberos
  o Craquage des mots de passe Windows
  o Craquage des mots de passe RAR/ZIP
  – Structure des données et des fichiers
  o Outils d’édition hexadécimale
  WinHex
  HxD
  o Structure des dossiers
  En-têtes et bande-annonce
  Numéro magique
  o Métadonnées intégrées
  o Travailler avec les Clusters
  Slack Space
  Espaces non alloués et alloués
  

Description

Au cours de ce module, les participants maîtriseront les techniques de collecte de preuves, d’accès et de récupération d’informations volatiles et non volatiles. Les participants apprendront les techniques de collecte de preuves, d’accès et de récupération d’informations volatiles et non volatiles.

Contenu technique

• Découpage de données forensiques
  o Utilisation de l’HxD pour le découpage forensique
  Découpage de fichiers à partir d’un fichier existant
  o Outils automatiques de découpage de fichiers
  Premier
  Scalpel
  Extracteur de vrac
  – Collecte d’informations
  o Preuve de l’exécution du programme
  Extraction des artefacts du registre
  Visionneuse d’événements
  La politique d’audition
  Métadonnées du système Windows
  o Détection de fichiers cachés à l’aide du SDA
  o Archives auto-extractibles (SFX)
  o Collecte d’informations sur les réseaux
  Informations sur le réseau
  Connexions aux réseaux
  o Outils forensiques de la série Sysinternals-Suite
  o Extraction des justificatifs d’identité à l’aide de NirSoft
• Acquisition de données sur les lecteurs
  o Introduction à FTK-Imager
  Exploration des fichiers système
  Créer une image
  DD comme outil alternatif de capture d’images
  o Capturer la mémoire volatile
  Capturer un dossier de mémoire
  Méthodes et techniques de capture
  Pagefile
  Hiberfil.sys
  

Description

Dans ce module, les participants comprendront comment découvrir des informations cachées, détecter des fichiers altérés, travailler avec la mémoire et analyser la RAM.

Contenu technique

• Analyser les images capturées
  o Caractéristiques du FTK
  Extraction de fichiers protégés
  Monter une image comme un lecteur
  Capture de la mémoire volatile
  o Décharge de MFT
  Identifier les menaces potentielles
  Visualisation d’une reconstruction MFT à l’aide de DMDE
  o Analyser les fichiers de prérecherche
  o Reconstruire Explorer avec ShellBags
• Travailler avec la mémoire volatile
  o Extraction des données de la mémoire vive
  o Identifier les connexions de réseau
  o Processus de vidage de la mémoire
• Analyse du registre
  o Utilisation de AccessData Registry Viewer pour analyser les décharges du registre
  o Trouver des informations sur les utilisateurs en utilisant Ntuser.dat et usrclass.dat
  o Utiliser le CLI pour accéder au registre
  o Extraction des données du registre
  o Résultats de la police scientifique dans le registre
• Techniques anti-forensiques
  o Essuyage des disques
  o Méthodes sténographiques avancées
  o Techniques d’obscurcissement des fichiers
  o Falsification des données
  o Cryptage des lecteurs et des fichiers
  o Suppression des artefacts.

Description

Les participants étudieront différents rapports forensiques préparés par des enquêteurs à la suite d’incidents passés et apprendront à rédiger un rapport professionnel, y compris les points à prendre en compte lors de la documentation des conclusions d’un événement.

Contenu technique

• Introduction à la rédaction de rapports
  o Identification du dispositif
  o Préservation des données
  o Rassembler des preuves
  o Examen et analyse
  o Documentation
  o Présentation des preuves
  o Lignes directrices finales