Advanced forensics - FOR 508

	See also...  Organization of the courses  Training sessions planning
Goals  Certification  Duration  Instructor(s)  Pre-requisite for attendants  Teaching method  Related courses  Material  Agenda  Methods of inscription

Dates of the coming sessions: 24-28 October 2011 (Paris) 10-14 September 2012 (Paris) Dates subject to modification without prior notice. The sessions will only take place if the number of registered attendants is high enough.

 

5 days (9h00-18h30)

This training is given by:

• Benjamin Arnault , responsable de la formation. Certifié GCFA (GIAC Certified Forensic Analyst) depuis novembre 2006.
• Guillaume Lehembre. Certifié GCFA (GIAC Certified Forensic Analyst) depuis avril 2010.
• Sébastien Macke. Certifié GCFA (GIAC Certified Forensic Analyst) depuis septembre 2010.
• Stéphane Milani. Certifié GCFA (GIAC Certified Forensic Analyst) depuis septembre 2010.

Le support de cours est intégralement en anglais. Les stagiaires recevront également le kit "SANS Investigative Forensic Toolkit" (SIFT) Advanced :

• Le logiciel F-RESPONSE TACTICAL permettant un accès à des disques physiques via le réseau
• Un adaptateur USB <-> SATA/IDE pour connecter tout disque dur à un PC
• La station de travail SIFT (image VMWare)
• Le livre "File System Forensic Analysis" par Brian Carrier
• Une licence individuelle Helix3 Pro (CD fourni)
• Le DVD du cours contenant des exemples, outils et documentations

Le plan est issu de la formation FOR 508 du Sans Institute et suit donc le programme décrit à l'adresse : http://www.sans.org/security-training/advanced-computer-forensic-analysis-incident-response-4737-tid

• Les acteurs de l'inforensique
• La démarche de l'inforensique
• Les systèmes de fichiers : généralités
• Les systèmes de fichiers Linux/Unix
  • Ext2/Ext3
• Les systèmes de fichiers Windows
  • FAT et exFAT
  • NTFS

• Les principes de l'acquisition et de l'analyse inforensique
• Acquisition et analyse des données volatiles
• Réponse en direct Unix et Windows
• Méthodologie de réponse à incident pour un système Windows
• L'intégrité des preuves
• Acquisition de preuves inforensiques et création d'images

• Analyse de l'historique (timeline) d'un système de fichiers
• Examen du système de fichier et de la couche de données
• Examen de la couche de méta-données
• Examen de la couche de noms de fichiers
• Tri de fichiers et comparaison d'empreintes
• Kits d'outils inforensiques graphiques et automatisés
• Concepts clés des systèmes de fichiers Windows
• Analyse intermédiaire et avancée du registre Windows
• Analyse des points de restauration Windows XP
• Analyse des "Volume Shadow Copy" de Windows Vista, 7 et 2008
• Analyse des "Super" Historiques (timeline)
• Récupération des fichiers clé sur un système Windows
• Identification des logiciels malveillants inconnus
• Méthodologie pas à pas pour analyser et résoudre les cas ardus

• Qui peut investiguer et les lois sur l'investigation
• Lois et marche à suivre pour l'acquisition, l'analyse et la préservation des preuves
• Ce que doivent savoir Les investigateurs légaux aux Etats-Unis
• Ce que doivent savoir Les investigateurs légaux de l'Union Européenne
• Présenter les données
• Témoignages et rapports inforensiques

• Prise d'empreinte d'applications et inforensique des logiciels
• Le challenge inforensique (machine Windows ou Unix au choix !)

For registering an HSC course, please contact our training department by phone : +33 141 409 704 or by email at formations@hsc.fr, with first and last name of every student, your postal address and your company VAT number. Thoses informations enable us to send your the training agreement. The training agreement must be return agreed with signature and company stamp with you purchase order, at least 15 days before the course. This strict delay is imposed by SANS. The purchase order should precise your billing address and our payment regulations : net 30 days from our invoice date. Registration is completed as soon as we received those two documents.