A l’issue de cette formation, vous serez capable de :

• Décrire les principes fondamentaux du Forensic sous Linux
• Maîtriser les méthodes et outils de collecte de données
• Décrire un système de fichiers
• Décrire la mémoire et les artefacts du système
• Rédiger un rapport et présenter des résultats.

Jour 1

Introduction et principes fondamentaux

• Définition et importance de l'informatique légale
• Principes et méthodologies de base
• Les différents types de criminalistique informatique
• Légalité et conformité de la démarche
• Considérations éthiques dans les investigations
• Les méthodes de collecte de preuves numériques
• L'identification et la préservation des preuves
• L'importance de la Timeline
• Le laboratoire d'investigation
• Minimiser les interférences avec le sujet
• Automatiser les processus

Déterminer s'il s'agit d'un incident

• Méthodologie et points d'importance
• Présentation du framework ATT&CK du MITRE et points d'entrée des cyberattaques
• Les signes de compromission (Corrélation ATT&CK)

Environnement Linux

• Les enjeux de Linux dans le domaine de l'informatique légale
• Les éléments de base d'un environnement Linux dans le contexte du Computer Forensics
• Les distributions et les outils populaires
• Kali, CAINE, DEFT, SIFT, Tsurugi...
• Autopsy, Sleuth Kit, FTK Imager, dd...

Exemples de travaux pratiques (à titre indicatif)

• Installation et configuration d'un environnement d'investigation
• Déploiement d'outils, dont Autopsy et du Sleuth Kit dans l'environnement d'investigation

La collecte de données

• La création d'images disques (dd, dcfldd, FTK imager, Guymager...)
• La capture de la mémoire vive (LiME, Volatility, pmem, Memdump, FTK imager...)
• Créer une image depuis une machine virtuelle
• L'obfuscation sur un système Linux
• Les élévations de privilèges
• L'anti-Forensic et le Timestomping
• La gestion et le stockage sécurisé des données
• Stratégies de stockage sécurisé
• Le rôle du hash de l'image
• Bloquer les écritures logicielles et matérielles
• La documentation des processus de collecte

Exemples de travaux pratiques (à titre indicatif)

• Création d'un clone de disque dur à froid
• Création d'un clone de disque dur et dump mémoire à chaud
• Documenter les actions réalisées

Jour 2

L'analyse de la mémoire morte

• L'analyse des partitions
• La structure des systèmes de fichiers (ext3, ext4...)
• Les superblocs
• Les caractéristiques du système de fichiers étendu
• La recherche des métadonnées
• Le GUID
• La recherche des modifications
• L'examen des fichiers "history"
• L'examen des fichiers de logs
• L'examen des fichiers temporaires
• L'examen des configurations réseau
• Les techniques de récupération de données
• Récupération de fichiers supprimés
• Les méthodes utilisées par le Sleuth Kit et Autopsy
• Trouver et examiner les "File Slacks"
• Extraire, stocker et analyser les hashes des fichiers
• Utiliser le Carving
• Les malwares
• Retrouver une signature
• Utiliser les strings
• Le rapport d'analyse

Exemples de travaux pratiques (à titre indicatif)

• Analyse d'un système de fichiers post-mortem
• Recherche de données cachées sur une image disque
• Recherche d'outils malveillants présents sur le système
• Rédaction succincte d'un rapport d'analyse des éléments présents

Jour 3

L'analyse de la mémoire vive

• La structure de la mémoire vive sous Linux
• Les outils pour l'analyse de la mémoire
• L'identification des processus actifs
• Tracer les appels système
• Tracer les appels de librairies
• L'analyse des structures de données
• L'analyse des modules chargés
• L'étude des connexions réseau
• L'extraction des Artefacts
• La recherche de malwares

Exemples de travaux pratiques (à titre indicatif)

• Analyse d'un dump mémoire
• Recherche des processus présents
• Recherche d'outils malveillants
• Extraction d'Artefacts
• Mise en évidence des éléments d'intérêt

La corrélation

• Création de la Timeline
• Corrélation des éléments entre les différentes analyses

Exemples de travaux pratiques (à titre indicatif)

• Création d'une Timeline sur la base des éléments collectés dans les travaux pratiques précédents
• Détermination du scénario d'attaque de l'ensemble des éléments évoqués

La rédaction du rapport d'analyse

• Les éléments du rapport
• Le formalisme du rapport
• La diffusion et le stockage du rapport