EnCase Computer Forensics II
Transcription
EnCase Computer Forensics II
EnCase® Computer Forensics II - Plan du cours Jour 1 Le premier jour débute par un aperçu de l’environnement d’EnCase® Forensic v7 (EnCase v7). Les élèves apprennent ensuite à récupérer des informations chiffrées en examinant des fichiers chiffrés avec Windows® BitLocker™. Les participants passent ensuite à l’étude du modèle de partitionnement du Master Boot Record et la manière de récupérer des partitions supprimées. L’enseignement se poursuit par un examen des fichiers composés. Leurs structures seront étudiées et les questions entourant leur examen seront discutées en détail. Les stagiaires étudient par la suite un type très important de fichier composé, le fichier ruche de Registre Windows®. Ils examineront le montage et l’examen de ces fichiers, et recevront des instructions sur les relations entre les fichiers ruches avec la structure de Registre dans son état on-line. Les élèves examinent ensuite les informations de fuseau horaire contenues dans le Registre, leur importance pour le dossier d’enquête, et comment elles s’appliquent dans EnCase v7. Le premier jour s’achève avec un enseignement de niveau intermédiaire concernant NTFS et son métafichier le plus important, la Master File Table (MFT). Les principaux domaines couverts le premier jour comprennent : • Examen de la création de dossier EnCase v7 et l’ajout d’éléments de preuve • Examen des données chiffrées avec BitLocker • Comprendre la structure du Master Boot Record • Principes pour tenter de récupérer des données perdues par le processus de partitionnement – Restauration/récupération de partitions • Fichiers composés – Monter et rechercher des fichiers composés – Documenter les données contenues dans ces fichiers composés – Les dangers de ne pas examiner les fichiers composés correctement • Registre Windows – Eléments du Registre » Clés et valeurs du Registre » Types de valeurs du Registre – Localiser et monter les fichiers de registre – Examiner les paramètres de fuseau horaire avec le Registre » Application des fuseaux horaires dans EnCase v7 • Introduction au NTFS – Systèmes de fichiers internes et leur fonction – Entrées $MFT et attributs contenus – Données de fichier résident – Données de fichier non-résident – Impact de la suppression de fichiers Jour 2 Le deuxième jour démarre par un exercice pratique et l’enseignement se poursuit par un aperçu de l’EnCase® Evidence Processor. Les élèves passent ensuite à une discussion sur les processus de récupération de dossiers supprimés sur les volumes FAT et NTFS. Des recherches d’index basiques sont discutées, configurées et exécutées avec un examen associé des résultats des données sensibles. Un enseignement est ensuite délivré sur l’utilisation des modules EnCase® Virtual File System (VFS) et EnCase® Physical Disk Emulator (PDE). Il sera expliqué aux participants comment utiliser ces technologies pour réaliser des tâches à l’extérieur de l’environnement EnCase v7, telles que la détection de virus, ainsi que l’exécution d’une application propriétaire présente sur le support cible. La fonctionnalité de fichier unique (single file) ainsi que la valeur des fichiers de preuves logiques seront examinées. Le deuxième jour se conclut par un enseignement relatif à l’utilisation de la fonctionnalité de l’opérateur GREP d’EnCase v7 afin de réaliser des recherches avancées. Les principaux domaines abordés lors du second jour incluent : • Aperçu de l’Evidence Processor • Récupération/restauration de dossier supprimés • Recherches basiques par index • Utilisation du VFS – Traitement externe » Détection de virus » Montage dynamique de fichiers composés • Fichiers uniques et fichiers de preuves logiques • Utilisation du PDE • Techniques de recherches avancées – Utilisation des commandes GREP dans EnCase v7 pour construire une recherche avancée – Pertinence du GREP, syntaxe adéquate, et résultats potentiels Jour 3 Le troisième jour est axé sur l’analyse spécifique de certains éléments qui fournissent souvent des renseignements essentiels pour les enquêtes. Ces zones spécifiques révèlent des données qui peuvent fournir une indication plus claire des activités de l’utilisateur. Nous examinerons les artefacts spécifiques créés par le système d’exploitation à travers l’interaction de l’utilisateur avec l’ordinateur. Les stagiaires étudieront les méthodes qu’offre EnCase v7 pour examiner les fichiers emails, l’historique Internet et le contenu de la mémoire cache, les favoris Internet, ainsi que les méthodes pour créer des conditions pour filtrer les données. Les principaux domaines couverts lors du troisième jour comprennent : • Artefacts Windows – informations du compte utilisateur et données associées – Dossiers et fichiers système d’intérêt – Fichiers cache miniatures – Artefacts spécifiques à Windows 7 » Structure de dossiers/répertoires et l’effet des jonctions (Points de montage des dossiers) » Privilèges utilisateur/administrateur et impact sur le stockage de données » Contenu des dossiers Links et Library » Fichiers système • Fichiers de raccourcis ou de liens – Déconstruction des fichiers liens pour révéler les structures internes liées à leurs fichiers cibles • Création de condition – Aperçu des propriétés, opérateurs et opérateurs logiques • Historiques Email et Internet – Examen des emails basé à la fois sur le client et sur le Web, et méthodes disponibles dans EnCase v7 pour localiser et analyser les banques de données d’emails – Récupération et analyse des pièces jointes aux emails – Examen des résultats de l’activité sur Internet, y compris les données provenant des cookies, de l’historique, du cache web, et des favoris Jour 4 Le quatrième jour débute par une discussion sur le processus d’impression sous les systèmes d’exploitation Windows, les fichiers internes spool et shadow générés, et les données contenues dans chacun. La fonction et le contenu de la Corbeille Windows sont étudiés en détail. Un examen du travail de la semaine révélera un important volume de données dans les répertoires case de la classe. Les élèves étudieront les méthodes pour documenter, organiser et préparer un rapport final professionnel, précis et articulé. Le cours se termine par un exercice pratique sous forme de réexamen/review des activités de la semaine. Les principaux domaines couverts le quatrième jour incluent : • Récupération du gestionnaire d’impression – Comprendre le processus d’impression et les fichiers associés – Récupération des fichiers SPL et SHD files ainsi que la compréhension et l’extraction des éléments graphiques et métadonnées qu’ils contiennent • La Corbeille Windows – Examiner la Corbeille, ses propriétés et fonctions – Étudier la façon dont la Corbeille est mise en œuvre sous Windows 7 – Rapprocher/Lier les données de la Corbeille à l’utilisateur associé – Entrées du Registre contrôlant les opérations de la Corbeille • Création de rapports – En utilisant les données accumulées au cours des travaux de la semaine, les élèves étudieront diverses méthodes pour documenter, organiser et préparer des rapports professionnels pour leurs entités – Les élèves enregistreront leurs rapports dans divers formats, y compris RTF, PDF, XML, et HTML puis compareront les résultats afin de sélectionner le format qui répond le mieux aux besoins de leurs organismes respectifs – Les élèves se verront présentés comment exporter l’ensemble des métadonnées liées aux fichiers et dossiers de leur dossier d’enquête et la meilleure manière de stocker (store), présenter et interroger ces données