Vous êtes sur la page 1sur 3

Développez vos talents

Certiiez vos compétences

Sécurité défensive

Investigation numérique (Computer Forensics)


5 jours (35h00) | 9 4,6/5 | SECINVFOR | Code Certif Info : 94841 | Certiication
M2i Sécurité Inforensic (non incluse) | Évaluation qualitative de in de stage | Formation
délivrée en présentiel ou distanciel (1)
Formations Informatique › Cybersécurité › Sécurité défensive

À l'issue de ce stage vous serez capable de :


– Acquérir des compétences générales sur l'investigation numérique.

Niveau requis
Connaissances généralistes en programmation, réseau et système.

Public concerné
Développeurs, pentesters et consultants en informatique.

Cette formation :
– Est animée par un consultant-formateur dont les compétences techniques, professionnelles
et pédagogiques ont été validées par des diplômes et/ou testées et approuvées par l’éditeur
et/ou par M2i Formation
– Bénéicie d’un suivi de son exécution par une feuille de présence émargée par demi-journée
par les stagiaires et le formateur.

(1) Modalité et moyens pédagogique :


Formation délivrée en présentiel ou distanciel * (e-learning, classe virtuelle, présentiel à distance). Le formateur alterne entre
méthodes ** démonstrative, interrogative et active (via des travaux pratiques et/ou des mises en situation). La validation
des acquis peut se faire via des études de cas, des quiz et/ou une certiication.
Les moyens pédagogiques mis en oeuvre (variables suivant les formations) sont : ordinateurs Mac ou PC (sauf pour les cours
de l'offre Management), connexion internet ibre, tableau blanc ou paperboard, vidéoprojecteur ou écran tactile interactif (pour
le distanciel). Environnements de formation installés sur les postes de travail ou en ligne. Supports de cours et exercices.
* Nous consulter pour la faisabilité en distanciel. ** Ratio variable selon le cours suivi.

1/3 m2iformation.fr | client@m2iformation.fr | numéro azur 0810 007 689


Programme

Jour 1

Introduction
– Qu'est-ce que le Forensic ? – Forensic et réponse à incident
– Qu'est-ce que le Forensic numérique ? – Obligations légales et limitations
– Les cas d'utilisation du Forensic – CERT (Computer Emergency Response Team) / CSIRT
dans une organisation (Computer Security Incident Response Team)

Méthodologie
– Méthodologie d'investigation légale – Matériels d'investigation
– Audit préalable – Logiciels d'investigation
– Enregistrements des preuves (chain of custody) – Protection de la collecte
– Collecte des preuves – Calculs des empreintes de ichiers
– Rédaction du rapport

Investigation numérique "live"


– Méthodologie live Forensic – Qu'est-il possible de faire ?
– Pourquoi le live ? – Présentation de la suite Sysinternals

Investigation réseau
– Enregistrement et surveillance Coniguration Protocol) Starvation
– Les différents types de données – Identiier une attaque ARP Spooing
– Acquisition des preuves et sondes – Identiier un scan réseau
– Rappel des bases du réseau – Identiier une exiltration de données
– Présentation des outils connus – Identiier un téléchargement via Torrent
– Identiier une erreur de type ARP (Adress
Exemple de travaux pratiques (à titre indicatif)
Resolution Protocol) Storm
– Identiier une attaque DHCP (Dynamic Host – Trouver des attaques de types ARP Spooing

Jour 2

Forensic Windows
– Analyse des systèmes de ichiers – Autres (Jumplist, prefetch, AMcache)
– FAT (File Allocation Table) / exFAT (Extended File – Artefacts applicatifs
Allocation Table) (court) – Navigateurs
– NTFS ( New Technology File System) – Messageries
– Timeline (MFT) – Skype / Onedrive / Dropbox
– Artefacts Système
Exemple de travaux pratiques (à titre indicatif)
– EVTX (Windows XML Event Log)
– Analyse base de registre – Trouver une intrusion via une attaque par
– Analyse VSC (Volume Shadow Copies) Spear Phishing

Jour 3

2/3 m2iformation.fr | client@m2iformation.fr | numéro azur 0810 007 689


Analyse simple de Malwares
– Les menaces et leurs mécanismes (GNU Debugger)
– Etat des lieux démarche et outils (ile, – Mécanismes de persistance
nm, readelf...) – Techniques d'évasion
– Mettre en place un environnement de test – Analyse mémoire sous Windows
– Sandbox – Principe
– Analyse simple avec Strace, Ltrace et GDB – Volatility

Forensic Linux
– Analyse de la mémoire vive et GUID (Globally Unique Identiier)
– Volatility avancé (ajout de plugin) – EXT / SWAP
– Analyse des principaux artefacts
Exemple de travaux pratiques (à titre indicatif)
– Retracer la création d'un proil
– Monter une partition MBR (Master Boot Record) – Analyser un simple Malwares

Jour 4
– Création de la timeline et exploitation des metadatas – Analyse des logs systèmes et applications :
(STK et Python) historique, logins et droits

Investigation Web
– Analyse de logs (déclinaison top 10 OWASP) – Cas d'usage (analyse d'une backdoor PHP)
– Analyse base de données
Exemple de travaux pratiques (à titre indicatif)
– Scripting Python (RegEx)
– Désobfuscation – Détecter une attaque SQLI (SQL Injection)

Jour 5

Section 9
– Android – Différentes sauvegardes réalisables
– Présentation d'Android (historique et architecture) – Analyses via UFED Physical Analyzer
– Installation d'un lab (ADB, genymotion...) – Scripting avec Python
– Dump mémoire – Iphone
– Analyse des logs, base de données et navigateurs – Présentation IOS et architecture
– Description des valises UFED (Universal Forensic – Acquisition logique
Extraction Device) – Acquisition physique
– Principe de fonctionnement – Jailbreak
– Analyse des différents artefacts IOS

Certiication (en option)


– Nos tests de validation des compétences font partie permettre d'étayer sa rélexion en mobilisant
intégrante du processus d'apprentissage car ils sa mémoire pour choisir la bonne réponse. Nous
permettent de développer différents sommes bien dans une technique
niveaux d'abstractions. d'ancrage mémoriel.
– Solliciter l'apprenant à l'aide de nos QCM, c'est lui – L'examen sera passé à la in de la formation.

Les + de la formation
L'examen de certiication (proposé en option) est en français.

3/3 m2iformation.fr | client@m2iformation.fr | numéro azur 0810 007 689

Vous aimerez peut-être aussi