Windows Forensic Investigation | URIEL EXPERT Monaco | Sécurité informatique & Investigation numérique

Introduction

Ce cours a été concu pour les investigateurs ayant de solides compétences en informatique, ayant suivi des formations préalables en investigation numérique et ayant une connaissance établie du logiciel Blacklight. Ce cours s’appuie sur les compétences développées durant la formation Basic Forensic Investigation et améliore la capacité du stagiaire à travailler efficacement à l’aide des fonctionnalités uniques de Blacklight. Ce cours peut également être considéré comme un cours complet de Windows 10 Forensic parfaitement actualisé.

Les stagiaires doivent maitriser la gestion de la preuve numérique, l’utilisation basique de Blacklight et si possible disposer déjà d’une bonne connaissance des systèmes de fichier rencontrés avec Windows.

Les cours sont dispensés habituellement sur Paris.
URIEL dispose en outre d’une salle de formation mobile. Les formations peuvent être dispensées sur site, à la demande, si un nombre minimal de participants est atteint.

L’accent étant mis sur le traitement d’un exemple complet sur Windows 10, les stagiaires traiteront des points suivants :

Rappel de quelques notions pour préserver les preuves numériques
Rappel sur les systèmes de fichier Windows, le MBR, les tables d’allocations, le VBR et le GUID avec illustration sur Blacklight.
Fat, ExFat, NTFS seront vus de manière détaillée.
La base de registre Windows®
Comment déterminer les décalages de fuseaux horaires et adapter les réglages du fuseau pour le cas
Détail des artéfacts Windows utilisateurs et systèmes
Filtrage et sélection des données pertinentes pour le cas en cours
Recherche par mots clés en brute ou par index.
Récupération de données effacées
L’utilisation des hash et des hashset
Effectuer des recherches par mots clés et des recherches avancées au moyen de GREP
Identifier les artefacts du système d’exploitation Windows 10, comme les fichiers liens, la corbeille, et les répertoires utilisateur
Comment examiner le courrier électronique et les artefacts Internet
Créer et utiliser des conditions pour une recherche efficace
Comment récupérer les artefacts, comme les fichiers d’échange, les données résiduelles de fin de fichier et les fichiers de tampon d’impression. L’analyse de mémoire sera également vue.
Comment récupérer les données de la corbeille
Effectuer un historique des navigations internet
Travailler sur les photos / vidéos et données multimédias
Examen en détail du shadow copy et intégration de la puissance de Blacklight pour la reconstruction intégrale des données.

Niveau

Intermédiaire

Prérequis

Basic Forensic Investigation

Public

Ce cours a été développé pour les professionnels de la sécurité des systèmes d’information, les professionnels du support légal, et les investigateurs en analyse numérique.
Les participants doivent avoir suivi la formation Basic Forensic Investigation

Inscription

N’hésitez pas à nous contacter par mail ou par téléphone pour tout renseignement sur cette formation. Pour réserver votre place, nous vous invitons à contacter votre représentant Cellebrite.