Enquête sur les incidents de hackers. Fondamentaux de la médecine légale - cours 179 990 roubles. de Spécialiste, formation, Date 20 janvier 2024.

Tu vas apprendre:
rechercher, obtenir et analyser des preuves numériques ;
enquêter sur les incidents résultant de techniques de piratage ;
appliquer les méthodes et techniques d'enquêtes cybercriminelles ;
interpréter les données collectées dans le cadre d’une enquête sur un incident informatique.

Module 1. L'informatique judiciaire dans le monde moderne (2 ac. h.)
Qu'est-ce que l'investigation informatique
Application de l'informatique judiciaire
Types de délits informatiques
Étude de cas. Exemples d'enquêtes sur la criminalité informatique
Difficultés de l'examen médico-légal
Enquête sur la cybercriminalité
Enquête civile
Enquête criminelle
Enquête administrative
Étude de cas. Exemples de types d'enquête
Règles de l'examen médico-légal
Enquête sur les crimes commis par des groupes criminels organisés (Enterprise Theory of Investigation)
Preuve numérique
Qu'est-ce que la preuve numérique
Types de preuves numériques
Caractéristiques des preuves numériques
Le rôle des preuves numériques
Sources de preuves potentielles
Règles de collecte de preuves
Exigence de meilleure preuve
Code de la preuve
Preuves dérivées
Groupe de travail scientifique sur les preuves numériques (SWGDE)
Préparation à une enquête médico-légale
L'investigation informatique dans le cadre d'un plan de réponse aux incidents
La nécessité d'une expertise informatique
Rôles et responsabilités d'un enquêteur médico-légal
Problèmes d'enquête médico-légale
Probleme juridique
Problèmes de confidentialité
Règles d'éthique
Ressources d'investigation informatique
Apprendre les bases des enquêtes sur les délits informatiques
Préparer le laboratoire aux expériences pratiques
Module 2. Le processus d'enquête sur les incidents informatiques (2 ac. h.)
L'importance du processus d'enquête
Phases du processus d'enquête
Phase d’enquête préliminaire Préparation du laboratoire médico-légal Constitution d’une équipe d’enquête Examen des politiques et des lois Établir des processus d'assurance qualité Comprendre les normes de destruction des données Évaluation risque
Préparation au laboratoire médico-légal
Constitution de l'équipe d'enquête
Examen des politiques et des lois
Créer des processus de qualité
Introduction aux normes de destruction de données
L'évaluation des risques
Étape d’enquête Processus d’enquête Méthodologie d’enquête: réponse rapide Méthodologie d’enquête: perquisition et saisie Conduite Entrevues préliminaires Planification des fouilles et des saisies Mandats de perquisition et de saisie Questions de santé et de sécurité Évaluation de la sécurité et de la scène de crime: liste de contrôle
Processus d'enquête
Méthodologie d’enquête: réponse rapide
Méthodologie d’enquête: perquisition et saisie
Réalisation d'entretiens préliminaires
Planification de l'inspection et de la saisie
Mandat de perquisition et de saisie
Problèmes de santé et de sécurité
Défense et évaluation des lieux de crime: liste de contrôle
Méthodologie d'enquête: collecte de preuves Collecte de preuves matérielles Formulaire de collecte de preuves Collecte et conservation de preuves électroniques Travail avec les ordinateurs allumés Travailler avec des ordinateurs éteints Travailler avec un ordinateur en réseau Travailler avec des fichiers ouverts et des fichiers de démarrage Procédure éteindre le système d'exploitation Travailler avec des postes de travail et des serveurs Travailler avec des ordinateurs portables Travailler avec des ordinateurs portables allumés des ordinateurs
Collecte de preuves
Formulaire de collecte de preuves
Collecte et conservation des preuves électroniques
Travailler avec des ordinateurs allumés
Travailler avec des ordinateurs éteints
Travailler avec un ordinateur en réseau
Travailler avec des fichiers ouverts et des fichiers de démarrage
Procédure d'arrêt du système d'exploitation
Travailler avec des postes de travail et des serveurs
Travailler avec des ordinateurs portables
Travailler avec des ordinateurs portables allumés
Méthodologie d’investigation: protection des preuves Gestion des preuves Procédure de transfert et de conservation des preuves Emballage et transport des preuves électroniques Numérotation des preuves physiques Stockage des preuves électroniques preuve
Gestion des preuves
Procédure de transfert et de conservation des preuves
Emballage et transport de preuves électroniques
Numérotation des preuves matérielles
Stockage des preuves électroniques
Méthodologie d'investigation: Collecte de données Guide de collecte de données Duplication de données Vérification de l'intégrité de l'image Récupération de données
Guide de collecte de données
Duplication des données
Vérification de l'intégrité de l'image
Récupération de données
Méthodologie d'enquête: Analyse des données Processus d'analyse des données Logiciel d'analyse des données
Processus d'analyse des données
Logiciel d'analyse de données
Étape post-enquête
Méthodologie d’enquête: évaluation des preuves Évaluation des preuves trouvées Intégration des preuves dans le dossier Traitement de l’évaluation emplacements Collecte de données à partir des réseaux sociaux Recommandations pour la recherche sur les réseaux sociaux Recommandations pour évaluation des preuves
Évaluation des preuves trouvées
Ajouter des preuves au dossier
Estimation du lieu de traitement
Collecte de données des réseaux sociaux
Lignes directrices pour la recherche sur les médias sociaux
Lignes directrices pour l’évaluation des preuves
Méthodologie d'enquête: documentation et reporting Documentation pour chaque phase de l'enquête Collecte et organisation des informations Rédaction d'un rapport d'enquête
Documentation pour chaque phase de l'enquête
Collecte et organisation des informations
Rédaction d'un rapport de recherche
Méthodologie d’enquête: témoignage d’expert Agir à titre de témoin expert Clôture du dossier
Servir de témoin expert
Clôture du dossier
Conduite professionnelle
Etude et application pratique des outils logiciels nécessaires au processus d'enquête médico-légale
Module 3. Disques durs et systèmes de fichiers (4 ac. h.)
Présentation des disques durs Disques durs (HDD) Disques SSD (SSD) Structure physique d'un disque dur Structure logique d'un disque dur Types d'interfaces de disque dur Interfaces de disque dur disques Pistes Secteurs Clusters Secteurs défectueux Bits, octets et quartets Adressage des données sur un disque dur Densité des données sur un disque dur Calcul de la capacité du disque Mesure des performances du disque dur disque
Disques durs (HDD)
Disques SSD (SSD)
Structure physique d'un disque dur
Structure logique d'un disque dur
Types d'interfaces de disque dur
Interfaces de disque dur
Des pistes
Secteurs
Groupes
Secteurs défectueux
Bit, octet et quartet
Adressage des données sur un disque dur
Densité des données du disque dur
Calcul de la capacité du disque
Mesure des performances du disque dur
Partitions de disque et processus de démarrage Partitions de disque Bloc de paramètres du BIOS Enregistrement de démarrage principal (MBR) Identificateur global unique (GUID) Qu'est-ce que le processus de démarrage? Fichiers système de base Windows Processus de démarrage Windows Identification de la table de partition GUID Analyse des en-têtes et des entrées GPT Artefacts GPT Processus de démarrage Macintosh Processus de démarrage Linux
Partitions de disque
Bloc de paramètres du BIOS
Enregistrement de démarrage principal (MBR)
Identifiant global unique (GUID)
Quel est le processus de téléchargement ?
Fichiers système de base de Windows
Processus de démarrage de Windows
Identification des tables de partition GUID
Analyse de l'en-tête et des enregistrements GPT
Artefacts GPT
Processus de démarrage Macintosh
Processus de démarrage Linux
Systèmes de fichiers Présentation des systèmes de fichiers Types de systèmes de fichiers Systèmes de fichiers Windows Systèmes de fichiers Linux Systèmes de fichiers Mac OS X Système de fichiers Oracle Solaris 11: Système de fichiers sur CD-ROM/DVD ZFS Système de fichiers sur disque compact (CDFS) Système de fichiers virtuel (VFS) Système de fichiers sur disque polyvalent (FDU)
Informations générales sur les systèmes de fichiers
Types de systèmes de fichiers
Systèmes de fichiers Windows
Systèmes de fichiers Linux
Systèmes de fichiers Mac OS X
Système de fichiers Oracle Solaris 11: ZFS
Système de fichiers CD-ROM/DVD
Système de fichiers sur disque compact (CDFS)
Système de fichiers virtuel (VFS)
Système de fichiers sur disque universel (UDF)
Système de stockage RAID Niveaux RAID Zones protégées de l'hôte (HPA)
Niveaux RAID
Aires protégées hôtes (HPA)
Analyse du système de fichiers Isolation d'ensembles de données homogènes Analyse de fichiers image (formats de fichiers image JPEG, BMP, hexadécimaux) Analyse de fichiers PDF Analyse de fichiers Word Analyse de mots Fichiers PPT Analyse de fichiers Excel Vue hexadécimale des formats de fichiers courants (vidéo, audio) Analyse du système de fichiers à l'aide d'Autopsy Analyse du système de fichiers à l'aide de The Sleuth Kit (TSK)
Isolation de tableaux de données homogènes
Analyse de fichiers image (formats de fichiers image JPEG, BMP, hexadécimaux)
Analyse de fichier PDF
Analyse de fichiers Word
Analyse du fichier PPT
Analyse de fichiers Excel
Représentation hexadécimale des formats de fichiers populaires (vidéo, audio)
Analyse du système de fichiers à l'aide d'Autopsy
Analyse du système de fichiers à l'aide du kit Sleuth (TSK)
Récupération de fichiers supprimés
Analyse du système de fichiers
Module 4. Collecte et duplication des données (2 ac. h.)
Concepts de collecte de données et de réplication Présentation de la collecte de données Types de systèmes de collecte de données
Informations générales sur la collecte de données Types de systèmes de collecte de données
Types de systèmes d'acquisition de données
Obtention de données en temps réel Ordre de volatilité Erreurs typiques lors de la collecte de données volatiles Méthodologie de collecte de données volatiles
Ordre de volatilité
Erreurs courantes lors de la collecte de données volatiles
Méthodologie de collecte de données variables
Acquisition de données statiques Données statiques Règles empiriques Images en double Copie de bits et données de sauvegarde Problèmes de copie Étapes de collecte et de duplication Données Préparation du formulaire de soumission de preuves Activation de la protection en écriture sur les supports de preuves Préparation du support cible: Guide NIST SP 800-88 Détermination des méthodes de format de collecte de données collecte de données Détermination de la meilleure méthode de collecte de données Sélection d'un outil de collecte de données Collecte de données à partir de disques RAID Acquisition de données à distance Erreurs dans la collecte de données Planification situations d'urgence
Données statiques
Règles de base
Images en double
Copie et sauvegarde de bits
Problèmes de copie des données
Étapes de collecte et de duplication des données Préparation du formulaire de transfert de preuves Activation de la protection en écriture sur les supports de preuves Préparation de la cible Médias: Guide NIST SP 800-88 Détermination du format de collecte de données Méthodes de collecte de données Détermination de la meilleure méthode de collecte de données Sélection outil de collecte de données Collecte de données à partir de disques RAID Acquisition de données à distance Erreurs dans la collecte de données Planification d'urgence situations
Préparer le formulaire de preuve
Activation de la protection en écriture sur les supports de preuves
Préparation du support cible: Guide NIST SP 800-88
Définir le format de collecte de données
Méthodes de collecte de données
Déterminer la meilleure méthode de collecte de données
Sélection d'un outil de collecte de données
Collecte de données à partir de disques RAID
Récupération de données à distance
Erreurs dans la collecte de données
La planification d'urgence
Lignes directrices pour la collecte de données
Utiliser un logiciel pour extraire des données des disques durs
Module 5. Techniques qui compliquent l'examen médico-légal (2 ac. h.)
Qu’est-ce que l’anticriminalistique? Objectifs de l'anticriminalistique
Objectifs de l'anticriminalistique
Techniques anti-forensics Suppression de données/fichiers Que se passe-t-il lorsque vous supprimez un fichier sous Windows? Corbeille Windows Où la corbeille est stockée dans les systèmes FAT et NTFS Comment fonctionne la corbeille Corruption du fichier INFO2 Corruption des fichiers dans la corbeille Dommages au répertoire de la corbeille Récupération fichiers Outils de récupération de fichiers sous Windows Outils de récupération de fichiers sous MAC OS X Récupération de fichiers sous Linux Récupération de partitions supprimées Protection par mot de passe Types de mots de passe Fonctionnement d'un pirate de mot de passe Techniques de craquage de mot de passe Mots de passe par défaut Utilisation de Rainbow Tables pour pirater le hachage Authentification Microsoft Craquage des mots de passe du système Contournement des mots de passe du BIOS Outils de réinitialisation des mots de passe administrateur Outils de piratage des mots de passe des applications Outils de piratage des mots de passe système Stéganographie et stéganalyse Masquage des données dans les structures système de fichiers Obscurcissement des traces Effacement des artefacts Réécriture des données et métadonnées Chiffrement Chiffrement du système de fichiers (EFS) Outils de récupération de données EFS Chiffré protocoles réseau Packers Rootkits Détection des rootkits Étapes de détection des rootkits Minimisation des traces Exploitation des bugs dans les outils médico-légaux Détection outils médico-légaux
Suppression de données/fichiers Que se passe-t-il lorsque vous supprimez un fichier sous Windows ?
Que se passe-t-il lorsque vous supprimez un fichier sous Windows ?
Corbeille Windows Où la corbeille est stockée dans les systèmes FAT et NTFS Comment fonctionne la corbeille Corruption du fichier INFO2 Corruption des fichiers dans la corbeille Corruption du répertoire de la corbeille
Emplacement de stockage de la corbeille dans les systèmes FAT et NTFS
Comment fonctionne le panier
Corruption du fichier INFO2
Dommages aux fichiers dans la corbeille
Corruption du répertoire de la corbeille
Récupération de fichiers Outils de récupération de fichiers sous Windows Outils de récupération de fichiers sous MAC OS X Récupération de fichiers sous Linux Récupération de partitions supprimées
Outils de récupération de fichiers sous Windows
Outils de récupération de fichiers sous MAC OS X
Récupération de fichiers sous Linux
Récupération de partitions supprimées
Protection par mot de passe Types de mots de passe Comment fonctionne un pirate de mot de passe Techniques de craquage de mot de passe Mots de passe par défaut Utilisation de tables arc-en-ciel pour déchiffrer les hachages Authentification Microsoft Piratage des mots de passe système Contournement des mots de passe du BIOS Outils pour réinitialiser le mot de passe administrateur Outils pour déchiffrer les mots de passe des applications Outils pour déchiffrer les mots de passe système mots de passe
Types de mots de passe
Le travail d'un pirate de mot de passe
Techniques de piratage de mots de passe
Mots de passe par défaut
Utiliser des tables arc-en-ciel pour casser des hachages
Authentification Microsoft
Piratage des mots de passe du système
Contourner les mots de passe du BIOS
Outils pour réinitialiser le mot de passe administrateur
Outils pour pirater les mots de passe des applications
Outils pour déchiffrer les mots de passe du système
Stéganographie et stéganalyse
Masquage des données dans les structures du système de fichiers
Obscurcissement des traces
Effacer des artefacts
Réécriture des données et des métadonnées
Encryption Encrypting File System (EFS) Outils de récupération de données EFS
Système de fichiers de chiffrement (EFS)
Outils de récupération de données EFS
Protocoles réseau cryptés
Emballeurs
Rootkits Détection des rootkits Étapes pour détecter les rootkits
Détection des rootkits
Étapes pour détecter les rootkits
Minimiser les empreintes
Exploiter les erreurs dans les outils médico-légaux
Détection d'outils médico-légaux
Contre-mesures contre la médecine légale
Des outils qui compliquent l’examen médico-légal
Utiliser un logiciel pour déchiffrer les mots de passe des applications
Détection par stéganographie
Module 6. Examen médico-légal des systèmes d'exploitation (4 ac. h.)
Introduction à l'investigation du système d'exploitation
Analyse médico-légale WINDOWS
Méthodologie d'investigation Windows Collecte d'informations volatiles Temps système Les utilisateurs enregistrés ouvrent des fichiers Réseau d'informations Réseau Connexions Informations sur le processus Mappages de processus et de ports Mémoire de processus État du réseau Fichiers de spool d'impression Autres informations importantes Collecte d'informations non volatiles Systèmes de fichiers Paramètres de registre Identificateurs de sécurité (SID) Journaux d'événements Fichier de base de données ESE Appareils connectés Slack Space Mémoire virtuelle Fichiers d'hibernation Fichier pagination Rechercher un index Rechercher des partitions cachées Flux alternatifs masqués Autres informations non volatiles Analyse de la mémoire Windows Disques durs virtuels (VHD) Vidage mémoire Structure d'EProcess Mécanisme de création de processus Analyse du contenu de la mémoire Analyse de la mémoire du processus Extraction d'une image de processus Collecte du contenu de la mémoire du processus Analyse du registre Windows Registre Structure du registre du périphérique Registre en tant que fichier journal Analyse du registre Informations sur le système Informations sur le fuseau horaire Dossiers publics Service SSID sans fil cliché instantané du volume Démarrage du système Connexion de l'utilisateur Activité de l'utilisateur Clés de registre de démarrage Périphériques USB Périphériques montés Suivi de l'activité utilisateurs Clés UserAssist Listes MRU Connexion à d'autres systèmes Analyse des points de récupération Détermination des emplacements de démarrage Analyse du cache, des cookies et de l'historique Mozilla Firefox Google Chrome Microsoft Edge et Internet Explorer Système d'analyse de fichiers Windows Points de restauration Prérécupération de fichiers Raccourcis Fichiers image Recherche de métadonnées Qu'est-ce que les types de métadonnées métadonnées Métadonnées dans différents systèmes de fichiers Métadonnées dans les fichiers PDF Métadonnées dans les documents Word Outils d'analyse des métadonnées Journaux Que sont les événements Types d'événements de connexion système Format de fichier du journal des événements Organisation des enregistrements d'événements Structure ELF_LOGFILE_HEADER Structure des enregistrements de journal Journaux d'événements Windows 10 Analyse médico-légale des journaux Événements Outils d'investigation Windows
Collecte d'informations volatiles Heure système Utilisateurs enregistrés Fichiers ouverts Informations réseau Réseau Connexions Informations sur le processus Mappages de processus et de ports Mémoire de processus État du réseau Fichiers du spouleur d'impression Autres informations importantes information
Le temps du système
Utilisateurs enregistrés
Ouvrir des fichiers
Informations sur le réseau
Les connexions de réseau
Traitement de l'information
Cartographie des processus et des ports
Mémoire de processus
L'état du réseau
Fichiers de file d'attente d'impression
Autres informations importantes
Collecte d'informations non volatiles Systèmes de fichiers Paramètres du registre Identificateurs de sécurité (SID) Journaux d'événements Fichier de base de données ESE Appareils connectés Slack Space Mémoire virtuelle Hibernation des fichiers Page Index de recherche de fichiers Rechercher des partitions cachées Flux alternatifs cachés Autres non volatiles information
Systèmes de fichiers
Paramètres du registre
Identifiants de sécurité (SID)
Journaux d'événements
Fichier de base de données ESE
Des appareils connectés
Espace mou
Mémoire virtuelle
Mettre les fichiers en veille prolongée
Fichier d'échange
Index de recherche
Trouver les sections cachées
Flux alternatifs cachés
Autres informations non volatiles
Analyse de la mémoire Windows Disques durs virtuels (VHD) Vidage de la mémoire Mécanisme de création de structure de processus E processus Analyse du contenu de la mémoire Analyse de la mémoire du processus Extraction d'une image de processus Collecte du contenu de la mémoire processus
Disques durs virtuels (VHD)
Vidage de la mémoire
Structure du processus
Mécanisme de création de processus
Analyse du contenu de la mémoire
Analyse de la mémoire des processus
Récupération d'une image de processus
Collecte du contenu de la mémoire du processus
Analyse du registre Windows Structure du registre des périphériques de registre Registre en tant que fichier journal Analyse du registre Informations système Informations sur le fuseau horaire Dossiers publics SSID sans fil Service de cliché instantané des volumes Démarrage du système Connexion utilisateur Activité utilisateur Clés de registre de démarrage USB Appareils Appareils montés Suivi de l'activité des utilisateurs Clés UserAssist Listes MRU Connexion à d'autres systèmes Analyse des points de récupération Détermination des sites de lancement
Périphérique de registre
Structure du registre
Registre en tant que fichier journal
Analyse du registre
Informations système
Informations sur le fuseau horaire
Dossiers partagés
SSID sans fil
Service de cliché instantané de volumes
Démarrage du système
Utilisateur en ligne
Activité de l'utilisateur
Clés de registre de démarrage
Périphériques USB
Appareils montables
Suivi de l'activité des utilisateurs
Clés d'assistance utilisateur
Listes MRU
Connexion à d'autres systèmes
Analyse des points de récupération
Détermination des sites de lancement
Analyse du cache, des cookies et de l'historique Mozilla Firefox Google Chrome Microsoft Edge et Internet Explorer
Mozilla Firefox
Google Chrome
Microsoft Edge et Internet Explorer
Analyse des fichiers Windows Points de restauration du système Prélecture des fichiers Raccourcis Fichiers image
Points de restauration du système
Prélecture des fichiers
Raccourcis
Fichiers images
Recherche sur les métadonnées Qu'est-ce que les métadonnées Types de métadonnées Métadonnées dans différents systèmes de fichiers Métadonnées dans les fichiers PDF Métadonnées dans les documents Word Outils d'analyse des métadonnées
Qu'est-ce que les métadonnées
Types de métadonnées
Métadonnées dans différents systèmes de fichiers
Métadonnées dans les fichiers PDF
Métadonnées dans les documents Word
Outils d'analyse des métadonnées
Journaux Que sont les événements Types de connexion Événements Format de fichier du journal des événements Organisation des enregistrements d'événements ELF_LOGFILE_HEADER Structure Structure des enregistrements du journal Journaux d'événements Windows 10 Analyse du journal médico-légal événements
Quels sont les événements
Types d'événements de connexion
Format du fichier journal des événements
Organisation des enregistrements d'événements
Structure ELF_LOGFILE_HEADER
Structure des entrées de journal
Journaux d'événements Windows 10
Analyse médico-légale des journaux d'événements
Outils d'investigation Windows
Commandes du Shell Forensics LINUX Fichiers journaux Linux Collecte de données volatiles Zone d'échange de collecte de données non volatiles
Commandes shell
Fichiers journaux Linux
Collecte de données volatiles
Collecte de données non volatiles
Zone d'échange
MAC Forensics Introduction à MAC Forensics Fichiers journaux de données MAC Forensics Répertoires Outils MAC Forensics
Introduction à la criminalistique MAC
Données médico-légales MAC
Fichiers journaux
Catalogues
Outils d'investigation MAC
Découvrez et extrayez des matériaux à analyser à l'aide d'OSForensics
Récupération d'informations sur les processus en cours d'exécution à l'aide de Process Explorer
Analyse des événements à l'aide de l'Explorateur de journaux d'événements
Réaliser une enquête médico-légale à l'aide d'Helix
Collecte de données volatiles sous Linux
Analyse de données non volatiles sous Linux
Module 7. Enquêtes réseau, journaux et sauvegardes du trafic réseau (4 ac. h.)
Introduction à la criminalistique réseau Qu'est-ce que la criminalistique réseau Journal et analyse en temps réel Vulnérabilités du réseau Attaques réseau Où chercher des preuves
Qu'est-ce que l'investigation des réseaux
Journal et analyse en temps réel
Vulnérabilités du réseau
Attaques réseau
Où chercher des preuves
Concepts de base en matière de journalisation Fichiers journaux comme preuve Lois et réglementations Légalité de l'utilisation des journaux Enregistrements des activités régulières comme preuve
Fichiers journaux comme preuve
Lois et règlements
Légalité de l'utilisation des magazines
Registres des activités régulières comme preuve
Corrélation d'événements Qu'est-ce que la corrélation d'événements Types de corrélation d'événements Conditions préalables à la corrélation d'événements Approches pour corrélations d'événements Garantir l'exactitude des fichiers journaux Enregistrer tout Gagner du temps Pourquoi synchroniser l'heure des ordinateurs? Qu'est-ce que le protocole NTP (Network Time Protocol)? Utiliser plusieurs capteurs Ne perdez pas les journaux
Qu'est-ce que la corrélation d'événements
Types de corrélation d'événements
Conditions préalables à la corrélation d'événements
Approches de la corrélation d'événements
Assurer l’exactitude des fichiers journaux
Enregistrez tout
Gagner du temps
Pourquoi synchroniser l'heure de l'ordinateur ?
Qu'est-ce que le protocole NTP (Network Time Protocol) ?
Utiliser plusieurs capteurs
Ne perdez pas vos magazines
Gestion des journaux Fonctionnalités de l'infrastructure de gestion des journaux Problèmes de gestion des journaux Résolution des problèmes de gestion des journaux Journalisation centralisée Protocole Syslog Assurer l'intégrité du système Contrôler l'accès aux journaux Signature numérique, cryptage et sommes de contrôle
Fonctionnalités de l'infrastructure de gestion des journaux
Problèmes de gestion des journaux
Résoudre les problèmes de gestion des journaux
Journalisation centralisée
Protocole Syslog
Assurer l’intégrité du système
Contrôle d'accès aux journaux
Signature numérique, cryptage et sommes de contrôle
Analyse des journaux Moteur d'investigation réseau Outils de collecte et d'analyse des journaux Collecte d'analyse des journaux du routeur informations de la table ARP Analyse des journaux du pare-feu Analyse des journaux IDS Analyse des journaux Honeypot Analyse des journaux DHCP Analyse des journaux ODBC
Moteur d'analyse médico-légale du réseau
Outils de collecte et d'analyse de journaux
Analyse des journaux du routeur
Collecte d'informations à partir de la table ARP
Analyse des journaux du pare-feu
Analyse du journal IDS
Analyse du journal du pot de miel
Analyse du journal DHCP
Analyse du journal ODBC
Étudier le trafic réseau Pourquoi étudier le trafic réseau? Collecte de preuves grâce au reniflage Wireshark - analyseurs de paquets réseau sniffer N1
Pourquoi étudier le trafic réseau ?
Recueillir des preuves grâce au reniflage
Wireshark – Renifleur N1
Analyseurs de paquets réseau
Analyse du journal IDS
Documenter les preuves du réseau
Reconstruction des preuves
Collecte et analyse de journaux à l'aide de GFI EventsManager
Explorer les données Syslog à l'aide de XpoLog Center Suite
Enquêter sur les attaques réseau à l'aide de Kiwi Log Viewer
Enquêter sur le trafic réseau à l'aide de Wireshark
Module 8. Enquête sur le piratage de serveurs Web (2 ac. h.)
Introduction à l'investigation des applications Web Défis de l'architecture des applications Web dans l'investigation des applications Web
Architecture des applications Web
Problèmes d'investigation médico-légale des applications Web
Enquête sur les attaques Web Symptômes d'une attaque d'application Web Présentation des menaces liées aux applications Web Enquête sur les attaques Web
Symptômes d'une attaque d'application Web
Présentation des menaces liées aux applications Web
Recherche sur les attaques Web
Examen des journaux du serveur Web Apache IIS
IIS
Apache
Enquête sur les attaques de cross-site scripting (XSS)
Enquête sur les attaques par injection SQL
Enquête sur les attaques de falsification de requêtes intersites (CSRF)
Enquête sur les attaques par injection de code
Enquête sur les attaques d'empoisonnement aux cookies
Outils de détection des attaques Web
Analyse des domaines et des adresses IP
Enquête sur une attaque sur un serveur web
Module 9. Enquête sur le piratage de serveurs de bases de données (2 ac. h.)
Examen médico-légal des systèmes de gestion de bases de données (SGBD)
Analyse forensique MSSQL Stockage des données dans le serveur SQL Où trouver des preuves dans le SGBD Collecte de données volatiles Fichiers de données et journaux de transactions actifs Collecte de journaux transactions actives Cache du plan de base de données Événements du serveur SQL dans les journaux Windows Fichiers de trace du serveur SQL Journaux d'erreurs du serveur SQL Outils d'investigation MS SQL
Stockage des données sur le serveur SQL
Où pouvez-vous trouver des preuves dans le SGBD ?
Collecte de données volatiles
Fichiers de données et journaux de transactions actifs
Collecte des journaux de transactions actifs
Cache du plan de base de données
Événements du serveur SQL dans les journaux Windows
Fichiers de trace SQL Server
Journaux d'erreurs SQL Server
Outils médico-légaux MS SQL
MySQL Forensics Architecture MySQL Structure du catalogue de données MySQL Forensics Afficher le schéma d'informations Outils MySQL Forensics
Architecture MySQL
Structure du répertoire de données
Analyse médico-légale MySQL
Affichage d'un schéma d'informations
Outils d'investigation MySQL
Exemples d'analyse médico-légale MySQL
Extraire des bases de données d'un appareil Android à l'aide d'Andriller
Analyse des bases de données SQLite à l'aide de DB Browser pour SQLite
Effectuer une analyse médico-légale d'une base de données MySQL
Module 10. Enquête sur les technologies cloud (2 ac. h.)
Concepts du Cloud Computing Types de Cloud Computing Séparation des responsabilités dans le Cloud Modèles de déploiement du Cloud Menaces des technologies Cloud Attaques sur les solutions Cloud
Types de cloud computing
Séparation des responsabilités dans le cloud
Modèles de déploiement cloud
Menaces des technologies cloud
Attaques contre les solutions cloud
Analyse forensique du cloud
Crimes dans le cloud Étude de cas: le cloud comme sujet Étude de cas: le cloud comme objet Étude de cas: le cloud comme outil
Étude de cas: le cloud comme sujet
Étude de cas: le cloud en tant qu'objet
Étude de cas: le cloud comme outil
Cloud Forensics: parties prenantes et leurs rôles
Problèmes de criminalistique dans le cloud Architecture et identification Journaux de collecte de données Analyse des aspects juridiques Catégories de problèmes de criminalistique
Architecture et identité
Collecte de données
Les magazines
Les aspects légaux
Analyse
Catégories de problèmes médico-légaux
Recherche sur le stockage cloud
Enquête médico-légale sur le service Dropbox Artefacts du portail Web Dropbox Artefacts du client Dropbox sous Windows
Artefacts du portail Web Dropbox
Artefacts du client Dropbox sous Windows
Enquête médico-légale sur le service Google Drive Artefacts du portail Web Google Drive Artefacts du client Google Drive sous Windows
Artefacts du portail Web Google Drive
Artefacts du client Google Drive sous Windows
Outils d'investigation cloud
Analyse médico-légale de DropBox
Analyse médico-légale de Google Drive
Module 11. Enquête sur les logiciels malveillants (4 ac. h.)
Concepts des logiciels malveillants Types de logiciels malveillants Différentes façons dont les logiciels malveillants infiltrent un système Méthodes courantes utilisées par les attaquants pour propager des logiciels malveillants en ligne malware
Types de logiciels malveillants
Différentes façons pour les logiciels malveillants de pénétrer dans un système
Méthodes courantes utilisées par les attaquants pour distribuer des logiciels malveillants en ligne
Composants malveillants
Analyse des logiciels malveillants Pourquoi analyser l'identification et l'extraction des logiciels malveillants malware Laboratoire d'analyse des malwares Préparation d'un banc de test pour l'analyse des malwares programmes
Pourquoi analyser les logiciels malveillants
Identification et extraction des logiciels malveillants
Laboratoire d'analyse des logiciels malveillants
Préparation d'un banc de test pour l'analyse des logiciels malveillants
Outils d'analyse des logiciels malveillants
Règles générales pour l'analyse des logiciels malveillants
Problèmes organisationnels liés à l'analyse des logiciels malveillants
Types d'analyse des logiciels malveillants
Analyse statique Analyse statique des logiciels malveillants: empreintes digitales de fichiers Services d'analyse des logiciels malveillants en ligne Services locaux et analyse des logiciels malveillants sur le réseau Effectuer des recherches de chaînes Identifier les méthodes d'empaquetage/obscurcissement Trouver des informations sur exécutables portables (PE) Détermination des dépendances de fichiers Désassemblage des logiciels malveillants Outils d'analyse malware
Analyse statique des logiciels malveillants: empreintes digitales des fichiers
Services d'analyse des logiciels malveillants en ligne
Analyse des logiciels malveillants locaux et réseau
Effectuer une recherche de chaîne
Définir les méthodes de packaging/obscurcissement
Recherche d'informations sur les exécutables portables (PE)
Détermination des dépendances de fichiers
Désassembler les logiciels malveillants
Outils d'analyse des logiciels malveillants
Analyse dynamique Surveillance des processus Surveillance des fichiers et des dossiers Surveillance du registre Surveillance de l'activité réseau Surveillance ports Surveillance DNS Surveillance des appels API Surveillance des pilotes de périphérique Surveillance des programmes de démarrage Services de surveillance les fenêtres
Surveillance des processus
Surveillance des fichiers et des dossiers
Surveillance du registre
Surveillance de l'activité du réseau
Surveillance portuaire
Surveillance DNS
Surveillance des appels API
Surveillance des pilotes de périphériques
Surveillance des programmes de démarrage
Surveillance des services Windows
Analyse de documents malveillants
Problèmes d'analyse des logiciels malveillants
Effectuer une analyse statique d'un fichier suspect
Analyse dynamique des logiciels malveillants
Analyse d'un fichier PDF malveillant
Numériser des fichiers PDF à l'aide des ressources réseau
Scanner des documents bureautiques suspects
Module 12. Examen médico-légal du courrier électronique (2 ac. h.)
Système de messagerie Clients de messagerie Serveur de messagerie Serveur SMTP Serveur POP3 Serveur IMAP L'importance de la gestion des documents électroniques
Clients de messagerie
Serveur de messagerie
Serveur SMTP
Serveur POP3
serveur IMAP
L'importance de la gestion électronique des documents
Crimes liés aux e-mails Spam Piratage de courrier Tempête de courrier Phishing Usurpation d'e-mail courrier Messages illégaux Fraude à l'identité Chaînes de lettres Pénal la chronique
Courrier indésirable
Piratage de courrier
Tempête de courrier
Hameçonnage
Usurpation d'e-mail
Messages illégaux
Vol d'identité
Lettres de bonheur
Chronique criminelle
Message électronique En-têtes de message électronique Liste des en-têtes de courrier électronique courants
En-têtes d'e-mails
Liste des en-têtes de courrier typiques
Étapes à suivre pour enquêter sur les crimes par courrier électronique Obtenir l'autorisation de rechercher, de saisir et d'enquêter sur les messages électroniques Copier des e-mails Afficher les en-têtes de messages dans Microsoft Outlook dans AOL dans Apple Mail dans Gmail dans Yahoo Mail Analyser les en-têtes des e-mails Vérification de fichiers supplémentaires (.pst / .ost) Vérification de la validité des e-mails Enquête sur les adresses IP Suivi de l'origine des e-mails Vérification des informations header Suivi des webmails Collecte des archives d'e-mails Archives d'e-mails Contenu des archives d'e-mails Archive locale Archive du serveur Récupération e-mails supprimés Enquête sur les journaux de messagerie Journaux du serveur de messagerie Linux > Journaux du serveur de messagerie Microsoft Exchange Journaux du serveur E-mail Novell
Obtention de l'autorisation d'inspection, de saisie et d'enquête
Recherche par courrier électronique
Copier des e-mails
Afficher les en-têtes de message dans Microsoft Outlook dans AOL dans Apple Mail dans Gmail dans Yahoo Mail
dans Microsoft Outlook
sur AOL
dans Apple Mail
dans Gmail
dans Yahoo Mail
Analyser les en-têtes des emails Vérifier les fichiers supplémentaires (.pst / .ost) Vérifier la validité des emails Rechercher les adresses IP
Vérification de fichiers supplémentaires (.pst / .ost)
Vérification de validation des e-mails
Recherche d'adresse IP
Suivi de l'origine des emails Vérification des informations d'en-tête Suivi des webmails
Vérification des informations d'en-tête
Suivi de la messagerie Web
Collection d'archives d'e-mails Archives d'e-mails Contenu des archives d'e-mails Archive locale Archive du serveur Récupération d'e-mails supprimés
Archives des e-mails
Contenu des archives de courrier électronique
Archives locales
Archives du serveur
Récupération d'e-mails supprimés
Examen des journaux de messagerie Journaux du serveur de messagerie Linux >Journaux du serveur de messagerie Microsoft Exchange Journaux du serveur de messagerie Novell
Journaux du serveur de messagerie Linux
>Journaux du serveur de messagerie Microsoft Exchange
Journaux du serveur de messagerie Novell
Outils médico-légaux
Lois sur la criminalité par courrier électronique
Récupérer les e-mails supprimés avec Récupérer mon e-mail
Recherche sur la cybercriminalité avec Paraben Email Examiner
Traçage d'un e-mail à l'aide d'eMailTrackerPro
Module 13. Enquête sur le piratage d'appareils mobiles (2 ac. h.)
Examen médico-légal des appareils mobiles La nécessité d'un examen médico-légal Principales menaces pesant sur les appareils mobiles
La nécessité d'un examen médico-légal
Principales menaces pour les appareils mobiles
Appareils mobiles et médecine légale
Système d'exploitation mobile et criminalistique Couches architecturales des appareils mobiles Pile architecturale Android Processus de démarrage Android Architecture iOS Processus de démarrage iOS Démarrage normal et DFU Démarrage de l'iPhone en mode DFU Stockage mobile et zones de preuves
Couches architecturales des appareils mobiles
Pile architecturale Android
Processus de démarrage Android
Architecture iOS
Processus de téléchargement iOS
Démarrage en mode normal et en mode DFU
Démarrez l'iPhone en mode DFU
Stockage mobile et stockage de preuves
Que faut-il faire avant l’enquête? Préparer un poste de travail médico-légal Constituer une équipe d’enquête Envisager les politiques et lois Obtenir l’autorisation de recherche Évaluer les risques Créer un ensemble d’outils médico-légaux examen
Préparer un poste de travail pour l'examen médico-légal
Construire une équipe d’enquête
Tenir compte des politiques et des lois
Obtenir l'autorisation de recherche
Évaluer les risques
Créer un ensemble d'outils médico-légaux
Analyse des preuves sur téléphone portable
Processus médico-légal des appareils mobiles Collecte de preuves Documentation d'une scène de crime Documentation des preuves Conservation des preuves Un ensemble de règles de traitement téléphone mobile Confinement du signal du téléphone mobile Emballage, transport et stockage des preuves Outils d'imagerie pour créer des images de disque mobile appareils Contourner le verrouillage du téléphone Contourner le mot de passe de verrouillage du téléphone Android Contourner le code iPhone Activation du débogage USB Techniques de suppression de la protection de la plateforme Collecte et analyse informations Collecte de preuves à partir d'appareils mobiles Méthodes de collecte de données Réseau cellulaire Module d'identité d'abonné (SIM) Collecte de données logique Collecte de données physiques Isolement ensembles de données homogènes Extraction de bases de données SQLite Outils de collecte de données mobiles Création d'un rapport d'enquête Modèle de rapport d'enquête appareil mobile
Rassembler des preuves
Documenter une scène de crime Documenter les preuves Préserver les preuves Un ensemble de règles de traitement téléphone portable Confinement du signal du téléphone mobile Emballage, transport et stockage preuve
Documenter les preuves
Conservation des preuves
Un ensemble de règles pour manipuler un téléphone portable
Brouillage du signal du téléphone portable
Emballage, transport et stockage des preuves
Supprimer une image Outils pour créer une image disque d'appareils mobiles Contourner le verrouillage du téléphone Contourner Verrouillage du téléphone Android Contournement du mot de passe Code iPhone Activer les techniques de suppression du débogage USB plates-formes
Outils pour créer des images disque d'appareils mobiles
Contourner le verrouillage du téléphone
Contourner le mot de passe de verrouillage du téléphone Android
Contournement du code iPhone
Activer le débogage USB
Techniques de suppression de la protection de la plateforme
Collecte et analyse d'informations Collecte de preuves à partir d'appareils mobiles Méthodes de collecte de données Réseau cellulaire Module d'identification de l'abonné (SIM) Collecte logique data Collecte de données physiques Isolation d'ensembles de données homogènes Extraction de bases de données SQLite Outils de collecte de données à partir d'appareils mobiles
Collecte de preuves à partir d'appareils mobiles
Méthodes de collecte de données
Réseau cellulaire
Module d'identité de l'abonné (SIM)
Collecte de données logique
Collecte de données physiques
Isolation de tableaux de données homogènes
Extraction de la base de données SQLite
Outils de collecte de données mobiles
Créer un modèle de rapport d'enquête sur les appareils mobiles
Modèle de rapport de recherche sur les appareils mobiles
Analyse médico-légale d'une image d'appareil mobile et récupération de fichiers supprimés à l'aide d'Autopsy
Recherche d'un appareil Android à l'aide d'Andriller
Module 14. Préparation d'un rapport d'enquête (2 ac. h.)
Préparer un rapport d'enquête Rapport d'enquête médico-légale Aspects importants d'un bon modèle de rapport rapport médico-légal Classification des rapports Lignes directrices pour la rédaction d'un rapport Conseils de rédaction rapport
Rapport d'enquête médico-légale
Aspects importants d'un bon rapport
Modèle de rapport de science médico-légale
Classement des rapports
Guide de rédaction d'un rapport
Conseils pour rédiger un rapport
Témoignage d'un témoin expert Qui est un « témoin expert »? Le rôle du témoin expert Témoin technique et du témoin expert Dewbert Standard Freie Standard Rules of Good témoin expert L'importance d'un curriculum vitae Code professionnel du témoin expert Se préparer à témoigner témoignage
Qui est un « témoin expert » ?
Le rôle du témoin expert
Témoin technique et témoin expert
Norme Deubert
Norme libre
Règles pour un bon témoin expert
L'importance d'un CV
Code professionnel du témoin expert
Se préparer à témoigner
Témoignage au tribunal Procédures générales dans les procédures judiciaires Éthique générale lors du témoignage L'importance des graphiques dans le témoignage Comment éviter les problèmes avec témoignage Témoignage lors de l'interrogatoire principal Témoignage lors du contre-interrogatoire Témoignage inclus dans les documents affaires
Procédure générale des procédures judiciaires
Éthique générale lors du témoignage
La signification des graphiques dans les lectures
Comment éviter les problèmes de lecture
Témoigner lors d’un interrogatoire direct
Témoigner lors d'un contre-interrogatoire
Témoignage versé au dossier
Travailler avec les médias
Préparation d'un rapport d'enquête sur un incident
Module 15. Test final (4 ak. h.)