Forensique Linux
BT214
Sommaire
Description
La forensique OS est l’art d’extraire des preuves et des indices importants d’une scène de crime numérique, qui peuvent aider l’enquêteur à reconstituer la chaîne des événements.
Au cours de ce cours, les participants apprendront les bases du matériel informatique et du système de fichiers Linux-OS. Ils apprendront à recueillir et à analyser des preuves forensiques et à rédiger des rapports officiels.
Comment réussir au mieux ce cours
Pour réussir ce cours, il vous faudra :
- Participer à l’ensemble des labos
- Produire du travail personnel entre les cours
- Exécuter les exercices, s’auto-former, réaliser les tâches demandées, etc.
Outre une participation active au cours, le participant doit fournir au moins 10h de travail personnel durant la semaine de cours afin d’acquérir une expérience pratique dans les domaines enseignés.
Le participant doit également posséder un ordinateur personnel capable de faire tourner un système virtuel avec une connexion Internet stable (voir ci-dessous pour plus de détails).
Public cible
- Agents des services de police et de renseignement
- Intervenants en cas d’incident
- Enquêteurs informatiques
- Administrateurs informatiques et de réseaux
Objectifs
- Accès aux fichiers cachés dans le système et extraction d’informations pertinentes
- Maîtriser les étapes de la réponse aux incidents
- Analyser les études de cas pertinents
Prérequis
Syllabus
Description
Le premier module portera sur les différents composants du matériel informatique. Les participants apprendront les principaux composants des disques de stockage et la structure du système d’exploitation Linux.
Contenu technique
- Lecteurs et disques
o L’anatomie d’une conduite
o Taille des données
▪ Représentation des données
▪ Hexadécimal
▪ ASCII
▪ Binaire
o Volumes et partitions
o Le partitionnement des disques et l’outil de gestion des disques
▪ MBR vs. GPT
▪ Comprendre l’UEFI
▪ L’APH
o Caractéristiques du Solid State Drive (SSD) - Comprendre la structure de Linux-OS
o Structure du répertoire Linux
▪ Bin
▪ Dev
▪ Etc
▪ Usr
▪ Proc
o Services et systèmed
o Utilisateurs et groupes
o Comprendre Shell
Description
Ce module exposera les participants aux composants internes du système d’exploitation Linux. ils découvriront des outils qui les aideront dans le cadre du processus d’enquête forensique.
Contenu technique
- Comprendre les hashes et les encodages
o Le hash en tant que signature numérique
o L’utilisation du hash pour la forensique
o Encodages de base - Traces dans le système d’exploitation Linux
o Fichiers d’activité des utilisateurs
Profile et Bashrc Histoire de Shell Analyser les dossiers ouverts
o Accès physique au processus de fonctionnement
o Enregistrement des services à l’aide de Journalctl
o Analyse du fichier journal auth.log deamon.log syslog ou messages
o Craquer les fichiers shadow et passwd
o Fichiers dans /dev
o Fichiers SUID/SGID - Structure des données et des fichiers
o Outils d’édition hexadécimale Bvi Xxd Hexedit Hexyl
o Structure des dossiers En-têtes et bande-annonce Numéro magique
o Métadonnées intégrées ExifTool Exiv2
o Travailler avec les Clusters Slack Space Espaces non alloués et alloués
Description
Au cours de ce module, les participants maîtriseront les techniques de collecte de preuves, d’accès et de récupération d’informations volatiles et non volatiles.
Contenu technique
- Découpage de données forensiques
o Utilisation du Bvi pour le découpage forensique Découpage de fichiers à partir d’un fichier existant
o Outils automatiques de découpage de fichiers Premier Scalpel Extracteur de vrac
o Fichiers contenant des informations de base sur le système et des informations sur les utilisateurs suspects - Collecte d’informations
o Preuve de l’exécution du programme
o Détection des fichiers et répertoires cachés
o Collecte d’informations sur les réseaux Routage du réseau Utilisation de BMON et TCPTRACK Collecte d’informations sur Netstat
o Enquêter sur les journaux des serveurs Analyser les journaux des serveurs web Analyser les logs MySQL Analyser les journaux FTP et SSH
o Systèmes de fichiers montés
o Modules de noyau chargés - Acquisition de données sur les lecteurs
o Introduction à FTK-Imager CLI Exploration des fichiers système Créer une image dd et dcfldd comme outil alternatif de capture d’images
o Capturer la mémoire volatile en utilisant la LiME par rapport à l’utilisation de la fmem Introduction aux bases de l’acquisition de la mémoire Compilation du LiME Vider un dossier-mémoire Comprendre le /proc/kcore
Description
Dans ce module, les participants comprendront comment découvrir des informations cachées, détecter des fichiers altérés, travailler avec la mémoire et analyser la RAM.
Contenu technique
- Analyser les images capturées
o Caractéristiques de FTK CLI Extraction de fichiers protégés Monter une image comme un lecteur Capture de la mémoire volatile
o Analyser la numérotation des nœuds
o Établir des calendriers en tant que CSV
o Extraction et examen des journaux du système - Analyse avancée du système d’exploitation Linux
o Strace et Ltrace
o Comprendre le brouillage
o Travailler avec les binaires Introduction aux dossiers ELF En-têtes, sections et chaînes En-têtes de programme et chargement du programme
o Introduction à la GDB
– Travailler avec la mémoire volatile
o Extraction des données de la mémoire vive
o Identifier les connexions de réseau
o Les processus de vidage de la mémoire
Description
Les participants étudieront différents rapports forensiques préparés par des enquêteurs à la suite d’incidents passés et apprendront à rédiger un résumé professionnel, y compris les points à prendre en compte lors de la documentation des conclusions d’un événement.
Contenu technique
- Introduction à la rédaction de rapports
o Identification du dispositif
o Préservation des données
o Rassembler des preuves
o Examen et analyse
o Documentation
o Présentation des preuves
o Orientations finales - Outils pour une déclaration correcte
o Autopsie
o Dradis
Labos
Les labos suivants font partie du cours BT214:
- Labo 1 Structure du système d’exploitation
- Labo 2 Hashes et encodage
- Labo 3 Artefacts Linux
- Labo 4 Structure des données
- Labo 5 Découpage des données
- Labo 6 Acquisition de données
- Labo 7 Mémoire Linux
- Labo 8 Volatilité
Type de Cours
Le participant peut bénéficier d’un des deux modes de cours :
- Une classe de cours virtuelle avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena
- Des cours in situ avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena
Cependant, en raison des restrictions sanitaires, l’ensemble des cours se fait sous la forme de classes virtuelles. Toutes les sessions sont enregistrées et peuvent être re-visionnées pendant 30 jours. Tout le matériel de cours est mis à disposition du participant sous forme électronique, couvrant les syllabus, les labos, et les études de cas.
Groupe de cours: Défense
Entre Pratique et Théorie
Notre approche de la formation est éminemment pratique et vise à permettre au participant d’appliquer dans un contexte pratique les connaissances qu’il acquiert.Certification
Ce cours prépare aux certifications suivantes:
- CLFP (7safe)
Équipement requis
Connexion réseau
Comme ce cours est essentiellement fondé sur un Learning Managament System (LMS), incluant une arène pour les labos, les participants ont besoin d’une connexion fiable à Internet.
Apporter votre propre matériel
Le cours étant principalement basé sur la pratique, les participants doivent avoir un ordinateur portable avec :
- L’audio et la vidéo
- 8 GB RAM
- 200 GB d’espace disque
- La capacité d’un environnement virtuel (capable de faire tourner la dernière version de Virtualbox ou un simulateur de machine virtuelle équivalent)
Et bien sûr un bon kit casque/micro. Plus de détails ici
