HSC   Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Training courses > Investigations Inforensiques Windows
Go to: HSC main site
Download the training catalog
Search:  
Version française
   Training courses   
o Planning
o Organismes de certifications
o Labels des formations
o Certifications et qualifications d'HSC
o Formations universitaires
   E-learning   
o E-learning HSC
o ISO 27001
o PHP security
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
   HSC est certifié OPQF   
logo OPQF
|>|Investigations Inforensiques Windows  
Training courses
See also...
o Organization of the courses
o Training sessions planning
o 
o 
o Theme news
o Theme advisories
o HSC Newsletter
o How to request an intervention
o Goals
o Certification
o Duration
o Instructor(s)
o Pre-requisite for attendants
o Teaching method
o Related courses
o Material
o Agenda
o Methods of inscription

Dates of the coming sessions:
- No session in the coming months
Dates subject to modification without prior notice. The sessions will only take place if the number of registered attendants is high enough.
 


Goals


Certification


Duration

5 days (9h00-18h30)


Instructor(s)

This training is given by:

  • Julien Reveret
    • GIAC GCFE 'Certified Forensic Examiner' certified
    • GIAC GCIH 'Certified Incident Handler'
    • CISSP certified
  • Steeve Barbeau (Steeve.Barbeau@hsc.fr)
    • GIAC GCFE 'Certified Forensic Examiner' certified
    • GIAC GPEN 'Certified Penetration Tester' certified
    • GIAC GREM 'Certified Reverse Engineering Malware'
  • Baptiste Dolbeau (Baptiste.Dolbeau@hsc.fr)
    • GIAC GCFE 'Certified Forensic Examiner' certified


Pre-requisite for attendants


Teaching method


Related courses


Material

Le support de cours est intégralement en anglais. Les stagiaires recevront également le kit "SANS Investigative Forensic Toolkit" (SIFT) Essentials :

  • Un Tableau T35e Write Blocker et son Bridge FireWire to SATA/IDE
    • Adaptateurs et cables IDE / SATA
    • Adaptateurs pour cables FireWire et USB
    • Une alimentation externe et son cable
    • Adaptateurs inforensique pour Notebook (IDE/SATA)
    • Un module Zero Force Insertion
    • Adaptateurs 1.8" et 2.5"
    • Un adptateur Micro SATA Solid State Disk
  • Un sac pour ranger le kit Tableau
  • Une image VMWare de la station de travail SANS Forensic Analysis
  • Le DVD du cours contenant des exemples, outils et documentations


Agenda

Le plan est issu de la formation FOR 408 du Sans Institute et suit donc le programme décrit à l'adresse : http://www.sans.org/security-training/computer-forensic-investigations-windows-in-depth-4807-tid

Le plan des formations est susceptible d'être modifié sans préavis pour être en accord avec les dernières modifications de leur contenu réalisées par SANS.

1. Les fondamentaux de l'inforensique
  • Objectif de l'inforensique
  • Présentation des cas d'inforensique les plus communs
  • Types d'informations stockées électroniquement
  • Localisation des preuves électroniquement stockées (Electronically Stored Evidence : ESI)
  • Acquisition et analyse des données volatiles
  • Les systèmes de fichiers : généralités
  • Rapport de preuves et présentations de celles-ci
  • Methodologie inforensique
2. Aquisition et analyse
  • Aquisition des preuves : généralités
  • Conservation des preuves
  • Méthodes d'aquisition
  • Kit de survie de l'expert inforensique
  • Outils et technique d'aquisition d'images disques complètes
  • Aquisition de données sur le réseau
  • Les outils inforensique graphiques
  • Étapes usuelles et outils inforensiques associés
  • Aquisition des fichiers supprimés
3. Inforensique Windows - Première partie - Analyse des Emails et de la base de registres
  • Inforensique des Emails
  • Emails Microsoft Outlook/Outlook Express/Windows
  • Emails des WebMails
  • Microsoft Exchange
  • Lotus Notes
  • Inforensique en profondeur de la base de registres
    • Ruches, Clés, et valeurs
    • Dernier accès en écriture
  • Authentification
    • Découverte des noms d'utilisateurs et les SID associés
    • Dernière connexion
    • Dernier échec de connexion
    • Nombre de connexions
    • Politique de mots de passe
  • Informations système
    • Identification du jeu de contrôle courant (Current Control Set)
    • Nom du système et sa version
    • Fuseau horaire
    • Adresse IP
    • Réseaux Sans fil/Ethernet/3G
    • Partages réseau
    • Date du dernier arrêt système
  • Preuves diverses
    • Exécution d'un programme
    • Téléchargement d'un fichier
    • Accès à un fichier / répertoire
  • Historique de recherche sous XP et Win7
  • Accès aux URLs
  • Documents récents
  • Boites de dialogue 'Ouvrir / Sauvegarder / Exécuter'
  • Historique de l'exécution d'application
  • Éditeur/Création/Version
  • Numéro de série unique
  • Lettre du dernier disque
  • Nom des volumes
  • USB
    • Nom d'utilisateur ayant utilisé l'USB
    • Date de première utilisation
    • Date de première utilisation après le dernier reboot
    • Date de dernière utilisation
  • Regripper, d'Harlan Carvey
  • Registry Viewer, d'Access Data
4. Inforensique Windows - Seconde partie - Analyse des artefactes et fichiers de journalisation
  • Analyse mémoire, mémoire virtuelle et espace non alloué
  • Conversations Facebook live, MSN Messenger, Yahoo, AIM, GoogleTalk
  • URLs d'IE8 InPrivate/Recovery
  • WebMails de Yahoo, Hotmail, Gmail
  • Inforensique des fichiers contenant des preuves sensibles
  • Analyse inforensique des journaux d'évènements de Windows
5. Inforensique Windows - Troisième partie - Inforensique du navigateur web
  • Inforensique des navigateurs web
  • Internet Explorer
    • Localisation des fichiers clés de l'inforensique Internet Explorer
    • Horodatage des fichiers d'historique Index.dat (Maître, Quotidiens, Hebdomadaires)
    • Horodatage des fichiers de cache Index.dat
    • Navigation InPrivate
    • Analyse du répertoire de restauration de session IE8
  • Localisation des fichiers clés de l'inforensique FF2 and FF3
    • Le format Mork et les fichiers .sqlite
    • Historique des téléchargements
    • Examen des fichiers de cache
    • Historique des URLs
    • Analyse des données de restoration sous FF3
  • Web Historian, de Mandiant
  • FTK, de FTK
  • FoxAnalysis
6. Mise en situation
  • Cas pratique final permettant aux stagiaires d'utiliser l'ensemble des outils et méthodes découverts tout au long de la formation afin de construire un rapport inforensique sur un cas d'étude spécialement mis en place. L'ensemble est orchestré comme une analyse inforensique en situation réelle.


Methods of inscription

For registering an HSC course, please contact our training department by phone : +33 141 409 704 or by email at formations@hsc.fr, with first and last name of every student, your postal address and your company VAT number. Thoses informations enable us to send your the training agreement. The training agreement must be return agreed with signature and company stamp with you purchase order, at least 15 days before the course. This strict delay is imposed by SANS. The purchase order should precise your billing address and our payment regulations : net 30 days from our invoice date. Registration is completed as soon as we received those two documents.

Last modified on 24 January 2017 at 14:44:20 CET - webmaster@hsc.fr
Mentions légales - Information on this server - © 1989-2013 Hervé Schauer Consultants