La formation Analyse Inforensique Windows est conçue pour enseigner les techniques essentielles permettant de collecter et d’analyser les preuves numériques après une cyberattaque. L’objectif est de récupérer des données cruciales pour établir la preuve d’un délit numérique et mener à bien une enquête judiciaire, tout en maîtrisant les outils spécifiques d’analyse Windows.
Objectifs de la formation
Objectif opérationnel :
- Maîtriser le processus inforensique Windows et gérer les investigations numériques sur un système Windows.
Objectifs pédagogiques :
À l’issue de cette formation, vous serez capable de :
- Gérer efficacement une investigation numérique sur un ordinateur Windows
- Analyser des données persistantes et volatiles pour retrouver des éléments de preuve
- Utiliser des logiciels d’investigation numérique pour extraire des informations cruciales
- Appliquer la méthodologie de réponse à incident dans un cadre judiciaire
À qui s’adresse cette formation ?
Public cible
Cette formation s’adresse à :
- Administrateurs système Windows
- Experts judiciaires en informatique
- Toute personne intéressée par la mise en œuvre d’enquêtes numériques et l’analyse forensique
Prérequis
Pour participer à cette formation, il est recommandé de :
- Avoir une connaissance préalable des bases de la sécurité des systèmes d’information (SSI)
- Avoir suivi la formation Fondamentaux et techniques de la SSI ou disposer de solides bases en sécurité informatique.
Programme détaillé
Introduction à l’analyse forensique
- Périmètre de l’investigation : définition et scope des enquêtes inforensiques sur Windows
- Outils nécessaires : trousse à outils et méthodologie First Responder
- Analyse post-mortem d’une attaque informatique : comment retrouver les traces laissées par un attaquant
Récupération et analyse des données sur Windows
- Disques durs et systèmes de fichiers : gestion des horodatages, récupération des données persistantes et volatiles
- Analyse des registres Windows et gestion des volumes chiffrés
- Recherche de données supprimées et récupération via Volume Shadow Copies
- Impact des technologies de stockage flash sur la conservation des preuves numériques
Investigations avancées
- Analyse des journaux Windows : événements, antivirus, logiciels tiers
- Scénarios d’investigation forensique : téléchargement, exécution de programmes, et manipulation de fichiers
- Carving : récupération de fichiers supprimés et analyse des espaces non alloués
Analyse de traces et exfiltration d’informations
- Géolocalisation : récupération et analyse des données Exif des photos et des points d’accès WiFi
- Exfiltration d’informations via périphériques USB, courriels et journaux SMTP
- Identification des utilisateurs abusés par des malwares
Analyse de la mémoire vive (RAM) et artefacts Windows
- Bases de l’analyse de la RAM : conversion des hyberfiles.sys, extraction de clés de chiffrement
- Présentation des artefacts Windows AD et analyse des navigateurs internet
Vue d’ensemble et outils d’analyse
- Création et analyse de frises chronologiques des événements liés à l’attaque
- Utilisation d’outils spécialisés pour interroger de gros volumes de données en vue de reconstituer les événements
Cette formation permet d’acquérir des compétences avancées en analyse forensique Windows, cruciales pour toute enquête sur des attaques informatiques, en particulier pour les professionnels de la cybersécurité en Tunisie.