Forensique Python

BT215

Sommaire

Description

Ce qui fait un excellent enquêteur en forensique numérique, c’est d’avoir les connaissances et les compétences nécessaires pour automatiser les étapes de la forensique en utilisant la puissance du langage de programmation Python. De nombreux laboratoires s’appuient sur Python pour construire des modèles de base pour les prédictions et pour mener des expériences. Il aide également à contrôler des systèmes opérationnels critiques. Python a des capacités intégrées pour aider l’enquête numérique et protéger l’intégrité des preuves pendant une enquête.

Cette formation fournira au participant un tremplin pour faire passer ses compétences en matière forensique au niveau supérieur, en les combinant avec de puissants scripts Python.

Comment réussir au mieux ce cours

Pour réussir ce cours, il vous faudra :

  • Participer à l’ensemble des labos
  • Produire du travail personnel entre les cours
  • Exéécuter les exercices, s’auto-former, réaliser les tâches demandées, etc.

Outre une participation active au cours, le participant doit fournir au moins 10h de travail personnel durant la semaine de cours afin d’acquérir une expérience pratique dans les domaines enseignés. Le participant doit également posséder un ordinateur personnel capable de faire tourner un système virtuel avec une connexion Internet stable (voir ci-dessous pour plus de détails).

Public cible

  • Agents des services de  police et des services de renseignement
  • Intervenants en cas d’incident
  • Enquêteurs informatiques
  • Administrateurs TI/réseaux
  • Personnel de sécurité informatique
  • Analystes en cyberforensique juniors

Objectifs

  • Apprendre à travailler avec différents modules pour accomplir des tâches
  • Analyser les traces laissés sur un système compromis en utilisant Python
  • Effectuer la surveillance du trafic réseau et analyser les journaux

Prérequis

Cours ThinkCyber niveau 1

Syllabus

Description

Au cours de ce module, les participants seront initiés au monde de Python. Ils apprendront à installer Python et ses modules supplémentaires, à écrire des scripts de base, à créer des clients et des serveurs socket, et à travailler avec des fichiers.

Contenu technique

  • Introduction à l’écriture en Python
    o Installation de Python
    o Les bases du Python
    ▪ Variables et booléens
    ▪ Dictionnaires et tuples
    ▪ Déclarations conditionnelles
    ▪ Pendant et pour les boucles
    ▪ Champ d’application et sous-programmes
    ▪ Exceptions, tests, compréhensions
    ▪ Fichiers I/O
  • Systèmes d’exploitation et réseaux
    o Utiliser le PIP pour installer des modules supplémentaires
    o Le module OS
    ▪ os.stat()
    ▪ os.walk()
    ▪ os.environ()
    o Prises de courant
    ▪ Demande HTTP simple
    ▪ Client et serveur du réseau

Description

Ce module couvrira le sujet de la forensique des réseaux ; les participants apprendront à installer et à travailler avec une variété de cadres et d’outils de réseau, ainsi qu’à analyser les traces de réseau et à capturer, récupérer et visualiser le trafic.

Contenu technique

  • Pandas et Scapy
    o Introduction à la thérapie
    o Fabrication de paquets bruts avec Scapy
    ▪ Envoi de demandes DNS
    ▪ Remplacement de la charge utile par défaut de la CIPD
    ▪ Paquets ARP
    o Communiquer avec SSL
    o Introduction à Numpy
    ▪ Fondamentaux de Numpy
    ▪ Fonctions universelles
    ▪ Indexation booléenne
    o Les bases du Panda
    ▪ Opérations des vecteurs
    ▪ Opérations sur les cordes
    o Les bases du Panda Dataframe
  • Analyser les traces des réseaux
    o Cadre DSHELL
    o Statistiques sur les traces du réseau
    o Visualisation des traces du réseau
    o Conversion de Pcap en Pandas DataFrame
    o Enquête sur la charge utile de base

Description

La forensique Python OS est un noyau essentiel de la démarche forensique Python ; ce module couvrira la forensique dans les deux principaux systèmes d’exploitation actuels, la manipulation des images et l’analyse des métadonnées.

Contenu technique

  • La forensique Python dans Windows
    o Métadonnées de base des fichiers
    o Représentation des données
    o Découpage des données et des métadonnées
    o Analyser les traces dans Windows
    o Gestion des journaux d’événements de Windows
  • La forensique Python sous Linux
    o Le système de fichiers Linux
    ▪ Comprendre l’inode
    ▪ Capacités des fichiers
    ▪ Métadonnées de base des fichiers
    o Analyser les historiques des commandes des utilisateurs
    o Capturer des images
    o Extraction d’un objet à partir d’une image
    o Capture et analyse de la mémoire

Description

Au cours de ce module, les participants apprendront à gérer les réseaux avancés.

Contenu technique

  • La forensique avancée
    o Mise en réseau avancée
    ▪ Recréer les traces de réseau
    ▪ Préparer les attaques de base
    o Travailler avec les données
    o TWISTED Python
    ▪ TWISTED Reactor
    ▪ TWISTED Deferreds
    ▪ TWISTED Transport
    o Applications de recherche d’informations

 

Labos

Les labos suivants font partie du cours BT215 :

  • Labo 1 Scripting Python de base
  • Labo 2 Établir une connexion à distance
  • Labo 3 Les bases du Panda
  • Labo 4 Analyser le réseau avec Python
  • Labo 5 Registre
  • Labo 6 Mémoire
  • Labo 7 Forensique Linux
  • Labo 8 Construire un cadre

Etudes de cas réels

Etude de cas #1 (PF001)
MNP, une société de comptabilité, a subi une attaque de logiciel de demande de rançon qui provoque une perte importante de données. Vous avez été engagé pour récupérer les données de l'entreprise et aider à terminer l'enquête.
Reference
Etude de cas #2 (PF002)
En raison d'une récente cyberattaque sur les systèmes informatiques de Stadler, la société a décidé de vous engager. Les services de surveillance interne sont actuellement impliqués et ont découvert que l'entreprise a été attaquée par un logiciel malveillant qui a provoqué une fuite de données. Utilisez vos compétences en matière d'analyse de réseau pour trouver l'attaquant et le fichier malveillant.
Reference
BT215

Type de Cours

Le participant peut bénéficier d’un des deux modes de cours :

  • Une classe de cours virtuelle avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena
  • Des cours in situ avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena

Cependant, en raison des restrictions sanitaires, l’ensemble des cours se fait sous la forme de classes virtuelles. Toutes les sessions sont enregistrées et peuvent être re-visionnées pendant 30 jours. Tout le matériel de cours est mis à disposition du participant sous forme électronique, couvrant les syllabus, les labos, et les études de cas.

Groupe de cours: Défense

NIVEAU
0%
HEURES
1

Entre Pratique et Théorie

Notre approche de la formation est éminemment pratique et vise à permettre au participant d’appliquer dans un contexte pratique les connaissances qu’il acquiert.
Pratique
1 %
Labos
1
Etudes de cas
1

Équipement requis

Connexion réseau

Comme ce cours est essentiellement fondé sur un Learning Managament System (LMS), incluant une arène pour les labos, les participants ont besoin d’une connexion fiable à Internet.

Apporter votre propre matériel

Le cours étant principalement basé sur la pratique, les participants doivent avoir un ordinateur portable avec :

  • L’audio et la vidéo
  • 8 GB RAM
  • 200 GB d’espace disque
  • La capacité d’un environnement virtuel (capable de faire tourner la dernière version de Virtualbox ou un simulateur de machine virtuelle équivalent)

Et bien sûr un bon kit casque/micro. Plus de détails ici

Inscription