2. Diplômes
3. Diplôme ingénieur ISIMA (statut étudiant)
4. 3ème année
5. Semestre 9
6. f5
7. ue-securite
8. Analyse Post-mortem (Forensic)

Analyse Post-mortem (Forensic)

Objectifs

 

Syllabus du Cours de DFIR (Digital Forensics and Incident Response) :  Il s'agit de fournir une compréhension approfondie des principes de la criminalistique numérique et de la réponse aux incidents, y compris la collecte de preuves, l'analyse des artefacts et l'utilisation de différents outils forensiques.

Plan du cours

- Introduction à la criminalistique numérique, son importance pour les équipes de cyber défense, nous abordons les différents types de rapports.

- Collecte de preuves est vue au travers de la RFC 3227, de l'Ordre de Volatilité, du cadre légal et éthique, et de la nécessaire Chaîne de possession (Chain of Custody).

- Les méthodes d'Acquisitions des données : Structures de supports de stockage : dd dcfldd, dc3dd, Guymager, Autopsy, etc.

- Etude des systèmes de fichiers : FAT{16,32}, ExFAT, NTFS, EXT{2,3,4} : TheSleuthKit, Autopsy, etc.

- Sur plusieurs semaines, les artefacts Windows sont étudiés : Registre, Journaux d'événements, Artefacts spécifiques : Prefetch, Jump Lists, LNK files : RegRipper, Autopsy, Zimmermman's tools, Hayabusa, Chainsaw, etc.

- Une séance est dédiée à l'analyse Mémoire : Volatility, MemprocFS, etc.

 

Description des TP

A remplir

Connaissances requises

Prérequis : Connaissances de base en informatique et en sécurité des systèmes d'information.

RSE (Responsabilité Sociale et Environnementale)

• Thèmes:

  Cadre légal et éthique de la collecte de preuves

• Nombre d'heures:

Bibliographie

- livre : "The Basics of Digital Forensics: The Primer for Getting Started in Digital Forensics", Broché – 15 décembre 2014", par John Sammons

- livre : "Digital Forensics Basics- A Practical Guide Using Windows OS"