Analyse Inforensique Windows

Fondations de l’Inforensique & Architecture Windows

• Méthodologie de l’enquête : Définition du périmètre de l’investigation numérique, respect de la chaîne de contrôle des preuves et constitution de la trousse à outils de l’analyste Forensic.
• Posture de « First Responder » : Procédures d’urgence et d’intervention sur incident en direct.
• Analyse Post-Mortem : Principes du stockage magnétique et architectures des supports Flash modernes (SSD, NVMe, gestion de l’usure).
• Systèmes de fichiers (NTFS / FAT) : Structures internes, métadonnées, gestion et limites des horodatages (MACB).
• Acquisition de données : Protocoles de collecte intègre des données persistantes (images disques) et volatiles. Gestion du chiffrement de disque (BitLocker).
• Récupération de données : Recherche de fichiers effacés, mécanismes des Volume Shadow Copies (VSS) et analyse de l’espace non alloué.
• Base de Registre Windows : Analyse profonde des ruches système (SYSTEM, SOFTWARE, SAM, SECURITY) et utilisateur (NTUSER.DAT, USRCLASS.DAT).
• Analyse des journaux système : Audit fin des journaux d’événements Windows (fichiers EVTX), logs des solutions antivirus et applicatifs tiers.

2. Scénarios d’Investigation & Artefacts d’Exécution

• Preuves d’exécution de programmes : Identification fine des applications lancées par l’attaquant ou l’utilisateur (Prefetch, Shimcache, Amcache, BAM/DAM).
• Traces de manipulation de fichiers : Analyse de l’activité récente et de la navigation au sein des répertoires (Lnk files, Shellbags, Jump Lists).
• Techniques de récupération : Extraction de données par signatures magiques de fichiers (File Carving) dans l’espace non alloué.
• Artefacts de contexte et de mobilité : Extraction de la géolocalisation, métadonnées EXIF des photographies, historiques des connexions Wi-Fi et stockage HTML5 locaux.
• Forensic de l’exfiltration : Traque de l’utilisation des périphériques de stockage amovibles (USBSTOR, Setupapi.log).
• Analyse de la messagerie : Analyse forensic des courriels d’ingénierie sociale (Phishing), parsing des clients lourds de messagerie et extraction des journaux SMTP côté serveur.

3. Interactions Internet, Activité Cloud et Triage de la RAM

• Forensic des navigateurs web : Analyse des artefacts de navigation modernes basés sur Chromium (Microsoft Edge, Google Chrome) et Gecko (Firefox). Parsing des bases de données SQLite (historiques, cookies, sessions).
• Artefacts Cloud locaux : Traces d’activité et de synchronisation sur l’environnement Microsoft 365 (SharePoint, OneDrive local).
• Traque des attaques sans fichier (Fileless) : Analyse avancée des exécutions malveillantes via les journaux PowerShell (Event ID 4104 – Script Block Logging) et requêtes WMI suspectes.
• Traces sur l’Active Directory : Identification des artefacts résiduels laissés sur les contrôleurs de domaine (EventID critiques liés aux outils offensifs).
• Bases de l’analyse de la mémoire vive (RAM) : Méthodes d’acquisition, conversion des fichiers de mise en veille (hiberfil.sys, pagefile.sys) et techniques d’extraction des clés de chiffrement à chaud.

4. Compléments Multi-OS (Introduction à l’Inforensique Linux)

• Forensic Linux Client : Les bases de la collecte d’artefacts et d’investigation sur un poste de travail Linux.
• Forensic Linux Serveur : Audit et corrélation des journaux de serveurs Web (Apache, Nginx) avec le système de gestion de fichiers.
• Chronologie de fichiers : Création et analyse d’une frise chronologique brute du système de fichiers (Filesystem Timeline).

5. Corrélation Globale & Génération de Super-Timeline

• Super-Timeline enrichie : Méthodologie d’unification de toutes les sources de preuves (système de fichiers, base de registre, logs réseau, artefacts d’exécution) au sein d’une frise chronologique unique.
• Gestion des volumes de données : Présentation et exploitation pratique des outils d’indexation, de tri et d’interrogation de données Forensic massives.

6. Fin de Session & Clôture Technique

• Synthèse générale : Session ouverte de questions et réponses pour ancrer les compétences.
• Contrôle des connaissances : Passation du QCM technique d’évaluation des acquis

Profil Formateur

• Profil Référent : Quentin . F : Ingénieur Cybersécurité Senior & Expert Consultant en Forensic.
  • Titres & Certifications : Diplôme d’Ingénieur BAC+5 spécialisé en Cybersécurité, certifié PASSI (Auditeur qualifié par l’ANSSI).
  • Compétences clés : Analyste SOC senior et spécialiste de la réponse aux incidents de sécurité majeurs (DFIR).
  • Maîtrise technologique avancée : Développement d’outils et de scripts d’investigation en Python (scraping), manipulation des frameworks d’OSINT et de Threat Intelligence (Maltego, Spiderfoot, Sherlock), architectures réseaux complexes et ingénierie de l’anonymisation.

Pour allez plus loin

Poursuivez la montée en compétences de vos équipes en Forensic et Investigation Numérique grâce à nos cursus avancés

• Analyse de Malwares Méthodologie et Pratique (2 jours)
  •  Connaitre les  méthodologiques et les techniques indispensables pour aborder sereinement l’analyse de malwares. 
• Analyse Inforensique Windows (5 jours)
  •  Pour maîtriser la collecte de preuves et l’analyse post-mortem des artefacts Microsoft.
• Rétroingénierie de logiciels malfaisants / Reverse Engineering (5 jours) 
  • Pour disséquer le code machine (Ghidra/Radare2) et comprendre l’obfuscation des malwares étatiques.