Inforensique : Investigation des systèmes Windows et des appareils mobiles

Formation #2055 - 5 jours

Cette formation présente tous les aspects de l'inforensique des systèmes Microsoft. Vous utiliserez des stations de travail pour mener l'enquête dans un environnement Windows et Linux. Vous allez acquérir les connaissances théoriques et pratiques d'un expert en inforensique débutant (recherche, analyse et génération de rapports) et découvrir quelques notions plus complexes (analyse des systèmes actifs et des appareils mobiles).

  • Réaliser les principales tâches d'un expert en inforensique
  • Préparer et mener des analyses sur des systèmes Windows
  • Appliquer des méthodologies d'inforensique pour conserver, recueillir, extraire et analyser des informations présentant un intérêt pour l'enquête
  • Identifier et analyser les principaux artefacts Windows pertinents dans le cadre d'une analyse numérique

  • Monter des images et rechercher des mots clés sur des images dans le cadre d'une analyse d'inforensique
  • Surveiller les activités des utilisateurs en analysant la messagerie, les navigateurs Web et le registre Windows
  • Documenter et présenter vos rapports d'inforensique et les preuves s'y rapportant
  • Récupérer des données destinées à l'inforensique sur des appareils mobiles
  • Préserver et analyser la mémoire vive

À toute personne chargée d'appliquer les premières mesures pour répondre à des incidents liés aux technologies de l'information survenus au sein d'une organisation. Elle s'adresse également aux personnes qui souhaitent en savoir plus sur les méthodologies et les techniques d'inforensique reconnues par l'appareil judiciaire et qui sont tenus par la loi de suivre une formation d'expert / analyste en inforensique.

Des connaissances des principes fondamentaux des systèmes informatiques sont utiles : composants matériels des ordinateurs / appareils mobiles, interactions avec les logiciels et mode de fonctionnement.

Définition de l'inforensique

  • Comprendre l'importance du principe de Locard
  • Intégrer l'inforensique dans la réponse aux incidents

Rôle de l'inforensique dans les investigations

  • Enquêtes criminelles, affaires de droit civil et enquêtes de sécurité / antiterroristes
  • Appliquer des méthodes scientifiques pour mener vos enquêtes

Rôle d'un expert en inforensique

  • Rester objectif pendant l'enquête
  • Faire preuve d'intégrité et ne pas divulguer d'informations confidentielles

Inforensique et considérations d'ordre juridique

  • Respect des droits et des attentes en matière de protection de la vie privée
  • Rechercher et signaler les informations illicites

Définir et appliquer les principes de respect de la vie privée

  • Les 12 principes de respect de la vie privée
  • Le devoir de respecter la vie privée dans le cadre de la procédure d'eDiscovery

Principes de fonctionnement d'un ordinateur

  • Analyser l'architecture et le système de stockage du disque dur
  • Passer en revue les opérations liées à la mémoire de l'ordinateur

Emplacements des preuves numériques sur un système informatique

  • Examiner les différents flux de données
  • Révéler les données cachées avec la stéganographie

Caractéristiques du laboratoire

  • Éléments clés d'un laboratoire d'inforensique
  • Valider les outils

Préparation et configuration d'une station de travail pour l'inforensique

  • Savoir utiliser un bloqueur (de disque) en écriture
  • Explorer les principales fonctionnalités des logiciels d'inforensique commercialisés et open source (EnCase, FTK, DD, etc.)

Recherche d'images

  • Créer des copies strictement identiques (bit-for-bit) des preuves numériques
  • Monter et rechercher des images

Documenter la scène de crime physique et numérique

  • Photographier la scène du crime
  • Techniques et méthodologies de tri

Gestion de la chaîne de contrôle

  • Mettre les preuves physiques dans des sacs et les étiqueter
  • Documenter et démontrer un processus de traçabilité

Identification des principaux artefacts Windows

  • Récupérer et interroger le registre Windows
  • Fichiers de mise en veille prolongée, journaux des événements, fichiers lnk et shellbag et fichiers de pré-récupération
  • Craquer et extraire le hachage des mots de passe

Recherche des mots clés, favoris et analyse temporelle

  • Élaborer des stratégies pour la recherche des mots clés
  • Reconstituer la chronologie des événements avec l'analyse temporelle

Analyse des courriels, des navigateurs Web et des périphériques USB

  • Extraire et récupérer des données supprimées de l'espace disque non alloué (slack)
  • Surveiller les activités des utilisateurs et se défendre contre les chevaux de Troie

Gestion sécurisée des appareils mobiles pendant l'enquête

  • Utiliser un sac Faraday
  • Utiliser des câbles pour appareils mobiles et des bloqueurs (de disque) en écriture

Préserver et extraire des preuves d'un appareil mobile

  • Rechercher des preuves dans le carnet d'adresses, le calendrier, la messagerie, les applications et les SMS
  • Récupérer des données stockées sur la carte SIM

Récupération de preuves dans la mémoire vive

  • Démontrer la pertinence de l'analyse de la mémoire vive sur les systèmes en cours d'exécution
  • Utiliser des outils open-source pour capturer et extraire la mémoire vive

Analyse des images mémoire à la recherche d'informations utiles pour l'enquête

  • Rechercher les processus démarrés, les connexions réseau actives et les commandes récentes
  • Identifier les processus cachés et les programmes malveillants

Sessions planifiées inter-entreprises

Contactez-nous au 01 49 68 53 00 pour planifier une session.

Demander un devis

Intra-entreprise

Organisez cette formation Learning Tree sur votre lieu de travail avec notre solution intra-entreprise.

Demander un devis

Financez votre formation

  • Programmes Visa Société et Passeport
  • Réduction Return to Learn

Pour en savoir plus, cliquez ici.

Notre catalogue

Vous souhaitez parcourir toute notre offre de formation ultérieurement ?

Téléchargez notre catalogue

Suivez une formation Learning Tree et profitez des avantages de SUPINFO International University !

Pour toute formation que vous aurez suivi chez Learning Tree, SUPINFO International University vous offre pendant un an le statut Advanced Member d'une valeur de 250€.
Ce statut privilégié vous permettra de profiter de ressources pédagogiques sélectionnées par SUPINFO :

* Services disponibles prochainement.