JDN > Formations professionnelles > Réseaux, télécoms, sécurité > Sécurité > Formation certifiante SANS "FOR 408 - Investigations inforensiques Windows"




Formation certifiante SANS Informations pratiquesCentre de formation Hervé Schauer Consultants (HSC)

 Formation certifiante SANS "FOR 408 - Investigations inforensiques Windows"


 Hervé Schauer Consultants (HSC), levallois-perret
 Formation inter entreprise


Objectif Basé sur le retour d'expérience de toute une communauté internationale d'experts en inforensique, le cours Investigations inforensiques - Windows SANS présente, de façon détaillée, les points importants à connaître pour mener à bien des études inforensiques complètes sous Windows.
Contenu 1. Les fondamentaux de l'inforensique
• Objectif de l'inforensique
• Présentation des cas d'inforensique les plus communs
• Types d'informations stockées électroniquement
• Localisation des preuves électroniquement stockées (Electronically Stored Evidence : ESI)
• Acquisition et analyse des données volatiles
• Les systèmes de fichiers : généralités
• Rapport de preuves et présentations de celles-ci
• Méthodologie inforensique

2. Acquisition et analyse
• Acquisition des preuves : généralités
• Conservation des preuves
• Méthodes d'acquisition
• Kit de survie de l'expert inforensique
• Outils et technique d'acquisition d'images disques complètes
• Acquisition de données sur le réseau
• Les outils inforensiques graphiques
• Étapes usuelles et outils inforensiques associés
• Acquisition des fichiers supprimés

3. Inforensique Windows - Première partie - Analyse des Emails et de la base de registres
• Inforensique des Emails
• Emails Microsoft Outlook/Outlook Express/Windows
• Emails des WebMails
• Microsoft Exchange
• Lotus Notes
• Inforensique en profondeur de la base de registres
o Ruches, Clés, et valeurs
o Dernier accès en écriture
• Authentification
o Découverte des noms d'utilisateurs et les SID associés
o Dernière connexion
o Dernier échec de connexion
o Nombre de connexions
o Politique de mots de passe
• Informations système
o Identification du jeu de contrôle courant (Current Control Set)
o Nom du système et sa version
o Fuseau horaire
o Adresse IP
o Réseaux Sans fil/Ethernet/3G
o Partages réseau
o Date du dernier arrêt système
• Preuves diverses
o Exécution d'un programme
o Téléchargement d'un fichier
o Accès à un fichier / répertoire
• Historique de recherche sous XP et Win7
• Accès aux URLs
• Documents récents
• Boites de dialogue 'Ouvrir / Sauvegarder / Exécuter'
• Historique de l'exécution d'application
• Éditeur/Création/Version
• Numéro de série unique
• Lettre du dernier disque
• Nom des volumes
• USB
o Nom d'utilisateur ayant utilisé l'USB
o Date de première utilisation
o Date de première utilisation après le dernier reboot
o Date de dernière utilisation
• Regripper, d'Harlan Carvey
• Registry Viewer, d'Access Data

4. Inforensique Windows - Seconde partie - Analyse des artefactes et fichiers de journalisation
Analyse mémoire, mémoire virtuelle et espace non alloué
Conversations Facebook live, MSN Messenger, Yahoo, AIM, GoogleTalk
URLs d'IE8 InPrivate/Recovery
WebMails de Yahoo, Hotmail, Gmail
Inforensique des fichiers contenant des preuves sensibles
Analyse inforensique des journaux d'évènements de Windows

5. Inforensique Windows - Troisième partie - Inforensique du navigateur web
• Inforensique des navigateurs web
• Internet Explorer
o Localisation des fichiers clés de l'inforensique Internet Explorer
o Horodatage des fichiers d'historique Index.dat (Maître, Quotidiens, Hebdomadaires)
o Horodatage des fichiers de cache Index.dat
o Navigation InPrivate
o Analyse du répertoire de restauration de session IE8
• Localisation des fichiers clés de l'inforensique FF2 and FF3
o Le format Mork et les fichiers .sqlite
o Historique des téléchargements
o Examen des fichiers de cache
o Historique des URLs
o Analyse des données de restoration sous FF3
• Web Historian, de Mandiant
• FTK, de FTK
• FoxAnalysis

6. Mise en situation
• Cas pratique final permettant aux stagiaires d'utiliser l'ensemble des outils et méthodes découverts tout au long de la formation afin de construire un rapport inforensique sur un cas d'étude spécialement mis en place. L'ensemble est orchestré comme une analyse inforensique en situation réelle.

Niveau requis Cette formation s'adresse :
• Professionel de l'IT souhaitant apprendre les concepts vitaux pour mener une investigation inforensique
• Tout membre d'une équipe de réponse à incident qui est amené à traiter des incidents de sécurité et ayant besoin de l'inforensique dans son activité
• Membres d'agences gouvernementales ou détectives qui souhaitent maîtriser l'inforensique et étendre leur champ de compétences en investigation sous windows
• Managers en sécurité de l'information souhaitant comprendre l'approche inforensique et ses implication sur la sécurité de l'information et les contentieux relatifs, ou pour diriger une équipe d'experts en inforensique
• Avocats et techniciens juridiques spécialisés technoligies de l'information désirant obtenir une formation professionnelle en inforensique
• Toute personne intéressée par l'inforensique ayant des connaissances en informatique (système et sécurité)
Durée de la formation 5 jours

 

Mise à jour le 02 Janvier 2012 
Mettre à jour | Envoyer cette fiche 


Rechercher
> Recherche avancée
> Toutes les formations
> Top des recherches
0-9|A|B|C|D|E|F|G|H|I|J|K|L|M|N|O|P|Q|R|S|T|U|V|W|X|Y|Z


Les informations contenues dans l'Annuaire des formations sont communiquées par les établissements concernés. Elles n'engagent en rien la responsabilité de l'éditeur du Journal du Net. © Benchmark Group


Rechercher une formation
Recherche avancée | Toutes les formations
Top des recherches


ENST Telecom Paris formation continue et professionnelle – Cegos
CNFCE ORSYS
Journal du Net Voir un exemple
Management Voir un exemple
Emploi Voir un exemple
Toutes nos newsletters

Annonces Google