Inforensique : Investigation des systèmes Windows et des appareils mobiles

Qu'est-ce que l'inforensique ?Définition de l'inforensique

• Comprendre l'importance du principe de Locard
• Intégrer l'inforensique dans la réponse aux incidents

Rôle de l'inforensique dans les investigations

• Enquêtes criminelles, affaires de droit civil et enquêtes de sécurité / antiterroristes
• Appliquer des méthodes scientifiques pour mener vos enquêtes

Rôle d'un expert en inforensique

• Rester objectif pendant l'enquête
• Faire preuve d'intégrité et ne pas divulguer d'informations confidentielles

Le cadre législatifInforensique et considérations d'ordre juridique

• Respect des droits et des attentes en matière de protection de la vie privée
• Rechercher et signaler les informations illicites

Définir et appliquer les principes de respect de la vie privée

• Les 12 principes de respect de la vie privée
• Le devoir de respecter la vie privée dans le cadre de la procédure d'eDiscovery

Principes de fonctionnement d'un ordinateur, mémoire et stockage informatiquesPrincipes de fonctionnement d'un ordinateur

• Analyser l'architecture et le système de stockage du disque dur
• Passer en revue les opérations liées à la mémoire de l'ordinateur

Emplacements des preuves numériques sur un système informatique

• Examiner les différents flux de données
• Révéler les données cachées avec la stéganographie

Configuration de la station de travail et du laboratoire d'inforensiqueCaractéristiques du laboratoire

• Éléments clés d'un laboratoire d'inforensique
• Valider les outils

Préparation et configuration d'une station de travail pour l'inforensique

• Savoir utiliser un bloqueur (de disque) en écriture
• Explorer les principales fonctionnalités des logiciels d'inforensique commercialisés et open source (EnCase, FTK, DD, etc.)

Recherche d'images

• Créer des copies strictement identiques (bit-for-bit) des preuves numériques
• Monter et rechercher des images

Gérer et recueillir les preuves Documenter la scène de crime physique et numérique

• Photographier la scène du crime
• Techniques et méthodologies de tri

Gestion de la chaîne de contrôle

• Mettre les preuves physiques dans des sacs et les étiqueter
• Documenter et démontrer un processus de traçabilité

Analyse et recherche des preuvesIdentification des principaux artefacts Windows

• Récupérer et interroger le registre Windows
• Fichiers de mise en veille prolongée, journaux des événements, fichiers lnk et shellbag et fichiers de pré-récupération
• Craquer et extraire le hachage des mots de passe

Recherche des mots clés, favoris et analyse temporelle

• Élaborer des stratégies pour la recherche des mots clés
• Reconstituer la chronologie des événements avec l'analyse temporelle

Analyse des courriels, des navigateurs Web et des périphériques USB

• Extraire et récupérer des données supprimées de l'espace disque non alloué (slack)
• Surveiller les activités des utilisateurs et se défendre contre les chevaux de Troie

Inforensique des appareils mobilesGestion sécurisée des appareils mobiles pendant l'enquête

• Utiliser un sac Faraday
• Utiliser des câbles pour appareils mobiles et des bloqueurs (de disque) en écriture

Préserver et extraire des preuves d'un appareil mobile

• Rechercher des preuves dans le carnet d'adresses, le calendrier, la messagerie, les applications et les SMS
• Récupérer des données stockées sur la carte SIM

Inforensique de la mémoire viveRécupération de preuves dans la mémoire vive

• Démontrer la pertinence de l'analyse de la mémoire vive sur les systèmes en cours d'exécution
• Utiliser des outils open-source pour capturer et extraire la mémoire vive

Analyse des images mémoire à la recherche d'informations utiles pour l'enquête

• Rechercher les processus démarrés, les connexions réseau actives et les commandes récentes
• Identifier les processus cachés et les programmes malveillants