HSC   Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Formations > Investigations Inforensiques Windows
Accéder au : Site HSC généraliste
Télécharger le catalogue des formations
Recherche :  
English version
   Formations Présentielles   
o Planning des formations
o Formations certifiantes avec LSTI
o Formations certifiantes SANS
o Certifications
o Formations universitaires
   E-learning   
o Le E-learning HSC
o La norme ISO 27001
o Programmation sécurisée en PHP
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
   HSC est certifié OPQF   
logo OPQF
|>|Investigations Inforensiques Windows  
Formations Présentielles
Voir aussi...
o Organisation des formations
o Planning des formations inter-entreprises
o Analyse inforensique avancée et réponse aux incidents - SANS FOR508
o 
o Thème actualité
o Thème avis de sécurité
o Newsletter HSC
o Comment nous demander une prestation
o Objectifs
o Certification
o Durée
o Formateur(s)
o Public visé et prérequis
o Méthode pédagogique
o Cours associés
o Support
o Plan
o Modalités d'inscription

Dates des prochaines sessions :
> 18-22 avril 2016 (Paris)
> 19-23 septembre 2016 (Paris)
> 10-14 avril 2017 (Paris)
> 11-15 septembre 2017 (Paris)
Dates soumises à modification sans préavis. Les sessions n'auront lieu que si le nombre d'inscrits est suffisant.
 

Basé sur le retour d'expérience de toute une communauté internationale d'experts en inforensique, le cours Investigations inforensiques - Windows SANS présente, de façon détaillée, les points importants à connaître pour mener à bien des études inforensiques complètes sous Windows.


Objectifs

Cette formation aborde les points importants des systèmes Windows que tout investigateur en inforensique se doit de connaître. Vous apprendrez à collecter et analyser l'information se trouvant sur les systèmes informatiques pour retrouver les traces des activités d'utilisateurs, ceci afin de servir de preuvre lors d'investigation internes ou dans le cadre d'expertises judiciaires.

Les méthodologies d'inforensique et d'extraction de media sont vues en profondeur afin d'apporter aux stagiaires les compétences pour mener eux-mêmes des expertises inforensiques. La théorie s'applique aux systèmes Windows XP, Seven, Vista et 2008, elle est complétée par l'apprentissage et l'utilisation d'outils d'inforensiques connus tels que Forensic Toolkit (FTK) d'Access Data, EnCase de Guidance Software, Registry Analyze, FTK Imager, Prefetch Analyzer parmi tant d'autres. La plupart des outils présentés sont gratuits, chaque stagiaire pouvant repartir avec son laboratoire inforensique une fois la formation finie.


Certification

Cette formation prépare à la certification GIAC Certified Forensic Examiner (GCFE).
Le passage de l'examen pour la certification peut être acheté soit lors de l'inscription à la formation soit directement auprès de SANS. L'examen se passe dans un centre agréé GIAC.


Durée

5 jours (9h00-18h30)


Formateur(s)

La formation est dispensée par :

  • Julien Reveret
    • Certifié GIAC GCFE 'Certified Forensic Examiner'
    • Certifié GIAC GCIH 'Certified Incident Handler'
    • Certifié CISSP
  • Steeve Barbeau (Steeve.Barbeau@hsc.fr)
    • Certifié GIAC GCFE 'Certified Forensic Examiner'
    • Certifié GIAC GPEN 'Certified Penetration Tester'
    • Certifié GREM 'GIAC Reverse Engineering Malware'
  • Baptiste Dolbeau (Baptiste.Dolbeau@hsc.fr)
    • Certifié GIAC GCFE 'Certified Forensic Examiner'


Public visé et prérequis

Public visé :

  • Professionel de l'IT souhaitant apprendre les concepts vitaux pour mener une investigation inforensique
  • Tout membre d'une équipe de réponse à incident qui est amené à traiter des incidents de sécurité et ayant besoin de l'inforensique dans son activité
  • Membres d'agences gouvernementales ou détectives qui souhaitent maîtriser l'inforensique et étendre leur champ de compétences en investigation sous windows
  • Managers en sécurité de l'information souhaitant comprendre l'approche inforensique et ses implication sur la sécurité de l'information et les contentieux relatifs, ou pour diriger une équipe d'experts en inforensique
  • Avocats et techniciens juridiques spécialisés technoligies de l'information désirant obtenir une formation professionnelle en inforensique
  • Toute personne intéressée par l'inforensique ayant des connaissances en informatique (système et sécurité)


Méthode pédagogique

Cours magistral en français avec manipulations et exercices pratiques.


Cours associés


Support

Le support de cours est intégralement en anglais. Les stagiaires recevront également le kit "SANS Investigative Forensic Toolkit" (SIFT) Essentials :

  • Un Tableau T35e Write Blocker et son Bridge FireWire to SATA/IDE
    • Adaptateurs et cables IDE / SATA
    • Adaptateurs pour cables FireWire et USB
    • Une alimentation externe et son cable
    • Adaptateurs inforensique pour Notebook (IDE/SATA)
    • Un module Zero Force Insertion
    • Adaptateurs 1.8" et 2.5"
    • Un adptateur Micro SATA Solid State Disk
  • Un sac pour ranger le kit Tableau
  • Une image VMWare de la station de travail SANS Forensic Analysis
  • Le DVD du cours contenant des exemples, outils et documentations


Plan

Le plan est issu de la formation FOR 408 du Sans Institute et suit donc le programme décrit à l'adresse : http://www.sans.org/security-training/computer-forensic-investigations-windows-in-depth-4807-tid

Le plan des formations est susceptible d'être modifié sans préavis pour être en accord avec les dernières modifications de leur contenu réalisées par SANS.

1. Les fondamentaux de l'inforensique
  • Objectif de l'inforensique
  • Présentation des cas d'inforensique les plus communs
  • Types d'informations stockées électroniquement
  • Localisation des preuves électroniquement stockées (Electronically Stored Evidence : ESI)
  • Acquisition et analyse des données volatiles
  • Les systèmes de fichiers : généralités
  • Rapport de preuves et présentations de celles-ci
  • Methodologie inforensique
2. Aquisition et analyse
  • Aquisition des preuves : généralités
  • Conservation des preuves
  • Méthodes d'aquisition
  • Kit de survie de l'expert inforensique
  • Outils et technique d'aquisition d'images disques complètes
  • Aquisition de données sur le réseau
  • Les outils inforensique graphiques
  • Étapes usuelles et outils inforensiques associés
  • Aquisition des fichiers supprimés
3. Inforensique Windows - Première partie - Analyse des Emails et de la base de registres
  • Inforensique des Emails
  • Emails Microsoft Outlook/Outlook Express/Windows
  • Emails des WebMails
  • Microsoft Exchange
  • Lotus Notes
  • Inforensique en profondeur de la base de registres
    • Ruches, Clés, et valeurs
    • Dernier accès en écriture
  • Authentification
    • Découverte des noms d'utilisateurs et les SID associés
    • Dernière connexion
    • Dernier échec de connexion
    • Nombre de connexions
    • Politique de mots de passe
  • Informations système
    • Identification du jeu de contrôle courant (Current Control Set)
    • Nom du système et sa version
    • Fuseau horaire
    • Adresse IP
    • Réseaux Sans fil/Ethernet/3G
    • Partages réseau
    • Date du dernier arrêt système
  • Preuves diverses
    • Exécution d'un programme
    • Téléchargement d'un fichier
    • Accès à un fichier / répertoire
  • Historique de recherche sous XP et Win7
  • Accès aux URLs
  • Documents récents
  • Boites de dialogue 'Ouvrir / Sauvegarder / Exécuter'
  • Historique de l'exécution d'application
  • Éditeur/Création/Version
  • Numéro de série unique
  • Lettre du dernier disque
  • Nom des volumes
  • USB
    • Nom d'utilisateur ayant utilisé l'USB
    • Date de première utilisation
    • Date de première utilisation après le dernier reboot
    • Date de dernière utilisation
  • Regripper, d'Harlan Carvey
  • Registry Viewer, d'Access Data
4. Inforensique Windows - Seconde partie - Analyse des artefactes et fichiers de journalisation
  • Analyse mémoire, mémoire virtuelle et espace non alloué
  • Conversations Facebook live, MSN Messenger, Yahoo, AIM, GoogleTalk
  • URLs d'IE8 InPrivate/Recovery
  • WebMails de Yahoo, Hotmail, Gmail
  • Inforensique des fichiers contenant des preuves sensibles
  • Analyse inforensique des journaux d'évènements de Windows
5. Inforensique Windows - Troisième partie - Inforensique du navigateur web
  • Inforensique des navigateurs web
  • Internet Explorer
    • Localisation des fichiers clés de l'inforensique Internet Explorer
    • Horodatage des fichiers d'historique Index.dat (Maître, Quotidiens, Hebdomadaires)
    • Horodatage des fichiers de cache Index.dat
    • Navigation InPrivate
    • Analyse du répertoire de restauration de session IE8
  • Localisation des fichiers clés de l'inforensique FF2 and FF3
    • Le format Mork et les fichiers .sqlite
    • Historique des téléchargements
    • Examen des fichiers de cache
    • Historique des URLs
    • Analyse des données de restoration sous FF3
  • Web Historian, de Mandiant
  • FTK, de FTK
  • FoxAnalysis
6. Mise en situation
  • Cas pratique final permettant aux stagiaires d'utiliser l'ensemble des outils et méthodes découverts tout au long de la formation afin de construire un rapport inforensique sur un cas d'étude spécialement mis en place. L'ensemble est orchestré comme une analyse inforensique en situation réelle.


Modalités d'inscription

Pour toute inscription aux formations HSC, contactez notre service formation par téléphone au (33)1 41 40 97 04 ou par courriel à formations@hsc.fr, en nous transmettant les noms et prénoms des stagiaires, votre adresse postale et le numéro de TVA intra-communautaire de votre société. Ces renseignements permettent d'établir la convention de formation.
La convention de formation est à retourner signée, tamponnée et accompagnée d'un bon de commande de votre organisme, au plus tard 15 jours ouvrés avant la formation. Ce délai strict de 15 jours est imposé par SANS. Le bon de commande doit indiquer votre adresse de facturation et nos conditions de règlement : 30 jours nets date d'émission de facture, envoyée après la formation.
L'inscription est confirmée dès la réception de ces deux documents.

Dernière modification le 10 février 2014 à 14:25:03 CET - webmaster@hsc.fr
Mentions légales - Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants