Descriptif

Ce cours est une formation de niveau expert de quatre jours, conçue pour les participants qui sont familiers avec les principes de l’investigation numérique et cherchant à élargir leur base de connaissances sur l’investigation avancée et à améliorer leurs enquêtes informatiques.

Les participants exploreront les preuves plus en profondeur en apprenant les dernières technologies d’ouverture de session – comme le mot de passe à code, Windows Hello (le mot de passe à image, la reconnaissance d’empreintes digitales et la reconnaissance faciale, etc.).

Dans ce cours, une compréhension plus approfondie de l’investigation sera réalisée, des ordinateurs Windows seront fournis en recherchant les artefacts tels que Windows Notification, Windows System Resource Utilization, Windows Error Reporting (WER), les Logs d’événements (EVT), les Logs de traçage d’événements (ETL), ainsi qu’une décomposition de la barre des tâches et si un artefact a été épinglé par le système ou par l’utilisateur.

Ce cours abordera également la manière de suivre les fichiers et les dossiers sur la base des informations contenues dans le profil de l’utilisateur et des informations récupérées à partir des Shellbags.

Les participants à ce cours utiliseront Passware et le générateur de listes de mots AXIOM pour déchiffrer les sauvegardes iTunes et les mots de passe Windows à partir des informations contenues dans les artefacts.

Objectifs

À l’issue de la formation, le stagiaire sera en capacités de :

Être capable de conduire une analyse poussée d’un ordinateur sous Windows
Être en mesure d’effectuer un dump de RAM et l’analyser
Savoir utiliser Passware dans le but de déchiffrer des conteneurs et retrouver des mots de passe

Prérequis

AX250 étant un cours de niveau expert, il est recommandé aux participants de suivre d’abord le cours AXIOM Examination (AX200). AX200 permet d’acquérir une compréhension approfondie d’AXIOM qui aidera les participants à se concentrer sur la partie avancée des investigations dans AX250.

Public Visé

Ce cours est dédié aux personnes souhaitant améliorer leur maîtrise du logiciel Magnet AXIOM et en particulier aux personnes ayant à analyser des données en provenance d’ordinateurs Windows. Ce cours est conçu pour les utilisateurs avancés du logiciel Magnet AXIOM.

Matériel mis à disposition

Un ordinateur portable
Licence AXIOM de formation
Livret de cours en anglais (format papier)
Bloc note & crayon
1 clé USB

Méthodes mobilisées

Evaluation des besoins et du profil du participant
Alternance d’apports théoriques et pratiques regroupés en différents modules

Modalités d’évaluation

La formation est clôturée par un exercice final pratique faisant intervenir l’ensemble des connaissances abordées au cours de la formation.
Le cas pratique consiste en l’analyse de différents fichiers évidence (HDD, Clé USB, RAM) provenant de systèmes Windows, contenant différentes traces.