Investigation numérique (Computer Forensics)

Objectifs pédagogiques

• Mettre en pratique les compétences générales sur l’investigation numérique.

Programme

Jour 1

Introduction

• Qu’est-ce que le Forensic ?
• Qu’est-ce que le Forensic numérique ?
• Les cas d’utilisation du Forensic dans une organisation
• Forensic et réponse à incident
• Obligations légales et limitations
• CERT (Computer Emergency Response Team) / CSIRT (Computer Security Incident Response Team)

Méthodologie

• Méthodologie d’investigation légale
• Audit préalable
• Enregistrements des preuves (chain of custody)
• Collecte des preuves
• Matériels d’investigation
• Logiciels d’investigation
• Protection de la collecte
• Calculs des empreintes de fichiers
• Rédaction du rapport

Investigation numérique « live »

• Méthodologie live Forensic
• Pourquoi le live ?
• Qu’est-il possible de faire ?
• Présentation de la suite Sysinternals
• Investigation réseau
• Enregistrement et surveillance
• Les différents types de données
• Acquisition des preuves et sondes
• Rappel des bases du réseau

Présentation des outils connus

• Identifier une erreur de type ARP (Adress Resolution Protocol) Storm
• Identifier une attaque DHCP (Dynamic Host Configuration Protocol) Starvation
• Identifier une attaque ARP Spoofing
• Identifier un scan réseau
• Identifier une exfiltration de données
• Identifier un téléchargement via Torrent
• Exemple de travaux pratiques (à titre indicatif)
• Trouver des attaques de types ARP Spoofing

Jour 2

• Forensic Windows
• Analyse des systèmes de fichiers
• FAT (File Allocation Table) / exFAT (Extended File Allocation Table) (court)
• NTFS (New Technology File System)
• Timeline (MFT)
• Artefacts Système
• EVTX (Windows XML Event Log)
• Analyse base de registre
• Analyse VSC (Volume Shadow Copies)
• Autres (Jumplist, prefetch, AMcache)
• Artefacts applicatifs
• Navigateurs
• Messageries
• Skype / Onedrive / Dropbox
• Exemple de travaux pratiques (à titre indicatif)
• Trouver une intrusion via une attaque par Spear Phishing

Jour 3

• Analyse simple de malwares
• Les menaces et leurs mécanismes
• Etat des lieux, démarche et outils (file, nm, readelf…)
• Mettre en place un environnement de test
• Sandbox
• Analyse simple avec Strace, Ltrace et GDB (GNU Debugger)
• Mécanismes de persistance
• Techniques d’évasion
• Analyse mémoire sous Windows
• Principe
• Volatility
• Forensic Linux
• Analyse de la mémoire vive
• Volatility avancé (ajout de plug-in)
• Analyse des principaux artefacts
• Retracer la création d’un profil
• Monter une partition MBR (Master Boot Record) et GUID (Globally Unique Identifier)
• EXT / SWAP
• Exemple de travaux pratiques (à titre indicatif)
• Analyser un simple Malwares

Jour 4

• Création de la timeline et exploitation des metadatas (STK et Python)
• Analyse des logs systèmes et applications : historique, logins et droits
• Investigation Web
• Analyse de logs (déclinaison top 10 OWASP)
• Analyse de base de données
• Scripting Python (RegEx)
• Désobfuscation
• Cas d’usage (analyse d’une backdoor PHP)
• Exemple de travaux pratiques (à titre indicatif)
• Détecter une attaque SQLI (SQL Injection)

Jour 5

• Android
• Présentation d’Android (historique et architecture)
• Installation d’un lab (ADB, genymotion…)
• Dump mémoire
• Analyse des logs, base de données et navigateurs
• Description des valises UFED (Universal Forensic Extraction Device)
• Principe de fonctionnement
• Différentes sauvegardes réalisables
• Analyses via UFED Physical Analyzer
• Scripting avec Python
• iPhone
• Présentation iOS et architecture
• Acquisition logique
• Acquisition physique
• Jailbreak
• Analyse des différents artefacts iOS

Le contenu de ce programme peut faire l’objet d’adaptation selon les niveaux, prérequis et besoins des apprenants.