Investigations inforensiques - Windows - SANS FOR408

	Voir aussi...  Organisation des formations  Planning des formations inter-entreprises  Analyse inforensique avancée et réponse aux incidents - SANS FOR508  Investigations inforensiques réseau - SANS FOR558  Thème actualité  Thème avis de sécurité  Newsletter HSC  Comment nous demander une prestation
Objectifs  Certification  Durée  Formateur(s)  Public visé et prérequis  Méthode pédagogique  Cours associés  Support  Plan  Modalités d'inscription

Dates des prochaines sessions : 18-22 juin 2012 (Paris) 5-9 novembre 2012 (Paris) Dates soumises à modification sans préavis. Les sessions n'auront lieu que si le nombre d'inscrits est suffisant.

 

Basé sur le retour d'expérience de toute une communauté internationale d'experts en inforensique, le cours Investigations inforensique - Windows SANS présente, de façon détaillée, les points importants à connaître pour mener à bien des études inforensiques complètes sous Windows.

Cette formation aborde les points importants des systèmes Windows que tout investigateur en inforensique se doit de connaître. Vous apprendrez à collecter et analyser l'information se trouvant sur les systèmes informatiques pour retrouver les traces des activités d'utilisateurs, ceci afin de servir de preuvre lors d'investigation internes ou dans le cadre d'expertises judiciaires.

Les méthodologies d'inforensique et d'extraction de media sont vues en profondeur afin d'apporter aux stagiaires les compétences pour mener eux-mêmes des expertises inforensiques. La théorie s'applique aux systèmes Windows XP, Seven, Vista et 2008, elle est complétée par l'apprentissage et l'utilisation d'outils d'inforensiques connus tels que Forensic Toolkit (FTK) d'Access Data, EnCase de Guidance Software, Registry Analyze, FTK Imager, Prefetch Analyzer parmi tant d'autres. La plupart des outils présentés sont gratuits, chaque stagiaire pouvant repartir avec son laboratoire inforensique une fois la formation finie.

Cette formation prépare à la certification GIAC Certified Forensic Examiner (GCFE).
Le passage de l'examen pour la certification peut être acheté soit lors de l'inscription à la formation soit directement auprès de SANS. L'examen se passe dans un centre agréé GIAC.

5 jours (9h00-18h30)

La formation est dispensée par :

• Benjamin Arnault , responsable de la formation. Certifié GCFA (GIAC Certified Forensic Analyst) depuis novembre 2006.
• Guillaume Thiaux. Certifié OSCP par Offensive Security depuis août 2010.
• Thibaut Leveslin.

Public visé :

• Professionel de l'IT souhaitant apprendre les concepts vitaux pour mener une investigation inforensique
• Tout membre d'une équipe de réponse à incident qui est amené à traiter des incidents de sécurité et ayant besoin de l'inforensique dans son activité
• Membres d'agences gouvernementales ou détectives qui souhaitent maîtriser l'inforensique et étendre leur champ de compétences en investigation sous windows
• Managers en sécurité de l'information souhaitant comprendre l'approche inforensique et ses implication sur la sécurité de l'information et les contentieux relatifs, ou pour diriger une équipe d'experts en inforensique
• Avocats et techniciens juridiques spécialisés technoligies de l'information désirant obtenir une formation professionnelle en inforensique
• Toute personne intéressée par l'inforensique ayant des connaissances en informatique (système et sécurité)

Cours magistral en français avec manipulations et exercices pratiques.

Le support de cours est intégralement en anglais. Les stagiaires recevront également le kit "SANS Investigative Forensic Toolkit" (SIFT) Essentials :

• Un Tableau T35e Write Blocker et son Bridge FireWire to SATA/IDE
  • Adaptateurs et cables IDE / SATA
  • Adaptateurs pour cables FireWire et USB
  • Une alimentation externe et son cable
  • Adaptateurs inforensique pour Notebook (IDE/SATA)
  • Un module Zero Force Insertion
  • Adaptateurs 1.8" et 2.5"
  • Un adptateur Micro SATA Solid State Disk
• Un sac pour ranger le kit Tableau
• Une image VMWare de la station de travail SANS Forensic Analysis
• Le DVD du cours contenant des exemples, outils et documentations

Le plan est issu de la formation FOR 408 du Sans Institute et suit donc le programme décrit à l'adresse : http://www.sans.org/security-training/computer-forensic-investigations-windows-in-depth-4807-tid

Le plan des formations est susceptible d'être modifié sans préavis pour être en accord avec les dernières modifications de leur contenu réalisées par SANS.

• Objectif de l'inforensique
• Présentation des cas d'inforensique les plus communs
• Types d'informations stockées électroniquement
• Localisation des preuves électroniquement stockées (Electronically Stored Evidence : ESI)
• Acquisition et analyse des données volatiles
• Les systèmes de fichiers : généralités
• Rapport de preuves et présentations de celles-ci
• Methodologie inforensique

• Aquisition des preuves : généralités
• Conservation des preuves
• Méthodes d'aquisition
• Kit de survie de l'expert inforensique
• Outils et technique d'aquisition d'images disques complètes
• Aquisition de données sur le réseau
• Les outils inforensique graphiques
• Étapes usuelles et outils inforensiques associés
• Aquisition des fichiers supprimés

• Inforensique des Emails
• Emails Microsoft Outlook/Outlook Express/Windows
• Emails des WebMails
• Microsoft Exchange
• Lotus Notes
• Inforensique en profondeur de la base de registres
  • Ruches, Clés, et valeurs
  • Dernier accès en écriture
• Authentification
  • Découverte des noms d'utilisateurs et les SID associés
  • Dernière connexion
  • Dernier échec de connexion
  • Nombre de connexions
  • Politique de mots de passe
• Informations système
  • Identification du jeu de contrôle courant (Current Control Set)
  • Nom du système et sa version
  • Fuseau horaire
  • Adresse IP
  • Réseaux Sans fil/Ethernet/3G
  • Partages réseau
  • Date du dernier arrêt système
• Preuves diverses
  • Exécution d'un programme
  • Téléchargement d'un fichier
  • Accès à un fichier / répertoire
• Historique de recherche sous XP et Win7
• Accès aux URLs
• Documents récents
• Boites de dialogue 'Ouvrir / Sauvegarder / Exécuter'
• Historique de l'exécution d'application
• Éditeur/Création/Version
• Numéro de série unique
• Lettre du dernier disque
• Nom des volumes
• USB
  • Nom d'utilisateur ayant utilisé l'USB
  • Date de première utilisation
  • Date de première utilisation après le dernier reboot
  • Date de dernière utilisation
• Regripper, d'Harlan Carvey
• Registry Viewer, d'Access Data

• Analyse mémoire, mémoire virtuelle et espace non alloué
• Conversations Facebook live, MSN Messenger, Yahoo, AIM, GoogleTalk
• URLs d'IE8 InPrivate/Recovery
• WebMails de Yahoo, Hotmail, Gmail
• Inforensique des fichiers contenant des preuves sensibles
• Analyse inforensique des journaux d'évènements de Windows

• Inforensique des navigateurs web
• Internet Explorer
  • Localisation des fichiers clés de l'inforensique Internet Explorer
  • Horodatage des fichiers d'historique Index.dat (Maître, Quotidiens, Hebdomadaires)
  • Horodatage des fichiers de cache Index.dat
  • Navigation InPrivate
  • Analyse du répertoire de restauration de session IE8
• Localisation des fichiers clés de l'inforensique FF2 and FF3
  • Le format Mork et les fichiers .sqlite
  • Historique des téléchargements
  • Examen des fichiers de cache
  • Historique des URLs
  • Analyse des données de restoration sous FF3
• Web Historian, de Mandiant
• FTK, de FTK
• FoxAnalysis

• Cas pratique final permettant aux stagiaires d'utiliser l'ensemble des outils et méthodes découverts tout au long de la formation afin de construire un rapport inforensique sur un cas d'étude spécialement mis en place. L'ensemble est orchestré comme une analyse inforensique en situation réelle.

Pour toute inscription aux formations HSC, contactez notre service formation par téléphone au (33)1 41 40 97 04 ou par courriel à formations@hsc.fr, en nous transmettant les noms et prénoms des stagiaires, votre adresse postale et le numéro de TVA intra-communautaire de votre société. Ces renseignements permettent d'établir la convention de formation.
La convention de formation est à retourner signée, tamponnée et accompagnée d'un bon de commande de votre organisme, au plus tard 15 jours ouvrés avant la formation. Ce délai strict de 15 jours est imposé par SANS. Le bon de commande doit indiquer votre adresse de facturation et nos conditions de règlement : 30 jours nets date d'émission de facture, envoyée après la formation.
L'inscription est confirmée dès la réception de ces deux documents.