EnCase Computer Forensics II

EnCase® Computer Forensics II - Plan du cours
Jour 1
Le premier jour débute par un aperçu de l’environnement d’EnCase® Forensic v7 (EnCase v7). Les élèves apprennent
ensuite à récupérer des informations chiffrées en examinant des fichiers chiffrés avec Windows® BitLocker™. Les
participants passent ensuite à l’étude du modèle de partitionnement du Master Boot Record et la manière de récupérer des
partitions supprimées. L’enseignement se poursuit par un examen des fichiers composés. Leurs structures seront étudiées
et les questions entourant leur examen seront discutées en détail. Les stagiaires étudient par la suite un type très
important de fichier composé, le fichier ruche de Registre Windows®. Ils examineront le montage et l’examen de ces
fichiers, et recevront des instructions sur les relations entre les fichiers ruches avec la structure de Registre dans son état
on-line. Les élèves examinent ensuite les informations de fuseau horaire contenues dans le Registre, leur importance pour
le dossier d’enquête, et comment elles s’appliquent dans EnCase v7. Le premier jour s’achève avec un enseignement de
niveau intermédiaire concernant NTFS et son métafichier le plus important, la Master File Table (MFT).
Les principaux domaines couverts le premier jour comprennent :
• Examen de la création de dossier EnCase v7 et l’ajout d’éléments de preuve
• Examen des données chiffrées avec BitLocker
• Comprendre la structure du Master Boot Record
• Principes pour tenter de récupérer des données perdues par le processus de partitionnement
– Restauration/récupération de partitions
• Fichiers composés
– Monter et rechercher des fichiers composés
– Documenter les données contenues dans ces fichiers composés
– Les dangers de ne pas examiner les fichiers composés correctement
• Registre Windows
– Eléments du Registre
» Clés et valeurs du Registre
» Types de valeurs du Registre
– Localiser et monter les fichiers de registre
– Examiner les paramètres de fuseau horaire avec le Registre
» Application des fuseaux horaires dans EnCase v7
• Introduction au NTFS
– Systèmes de fichiers internes et leur fonction
– Entrées $MFT et attributs contenus
– Données de fichier résident
– Données de fichier non-résident
– Impact de la suppression de fichiers
Jour 2
Le deuxième jour démarre par un exercice pratique et l’enseignement se poursuit par un aperçu de l’EnCase® Evidence
Processor. Les élèves passent ensuite à une discussion sur les processus de récupération de dossiers supprimés sur les
volumes FAT et NTFS. Des recherches d’index basiques sont discutées, configurées et exécutées avec un examen
associé des résultats des données sensibles. Un enseignement est ensuite délivré sur l’utilisation des modules EnCase®
Virtual File System (VFS) et EnCase® Physical Disk Emulator (PDE). Il sera expliqué aux participants comment utiliser ces
technologies pour réaliser des tâches à l’extérieur de l’environnement EnCase v7, telles que la détection de virus, ainsi que
l’exécution d’une application propriétaire présente sur le support cible. La fonctionnalité de fichier unique (single file) ainsi
que la valeur des fichiers de preuves logiques seront examinées. Le deuxième jour se conclut par un enseignement relatif à
l’utilisation de la fonctionnalité de l’opérateur GREP d’EnCase v7 afin de réaliser des recherches avancées.
Les principaux domaines abordés lors du second jour incluent :
• Aperçu de l’Evidence Processor
• Récupération/restauration de dossier supprimés
• Recherches basiques par index
• Utilisation du VFS
– Traitement externe
» Détection de virus
» Montage dynamique de fichiers composés
• Fichiers uniques et fichiers de preuves logiques
• Utilisation du PDE
• Techniques de recherches avancées
– Utilisation des commandes GREP dans EnCase v7 pour construire une recherche avancée
– Pertinence du GREP, syntaxe adéquate, et résultats potentiels
Jour 3
Le troisième jour est axé sur l’analyse spécifique de certains éléments qui fournissent souvent des renseignements
essentiels pour les enquêtes. Ces zones spécifiques révèlent des données qui peuvent fournir une indication plus claire des
activités de l’utilisateur. Nous examinerons les artefacts spécifiques créés par le système d’exploitation à travers
l’interaction de l’utilisateur avec l’ordinateur. Les stagiaires étudieront les méthodes qu’offre EnCase v7 pour examiner les
fichiers emails, l’historique Internet et le contenu de la mémoire cache, les favoris Internet, ainsi que les méthodes pour
créer des conditions pour filtrer les données.
Les principaux domaines couverts lors du troisième jour comprennent :
• Artefacts Windows
– informations du compte utilisateur et données associées
– Dossiers et fichiers système d’intérêt
– Fichiers cache miniatures
– Artefacts spécifiques à Windows 7
» Structure de dossiers/répertoires et l’effet des jonctions
(Points de montage des dossiers)
» Privilèges utilisateur/administrateur et impact sur le stockage de données
» Contenu des dossiers Links et Library
» Fichiers système
• Fichiers de raccourcis ou de liens
– Déconstruction des fichiers liens pour révéler les structures internes liées à leurs fichiers cibles
• Création de condition
– Aperçu des propriétés, opérateurs et opérateurs logiques
• Historiques Email et Internet
– Examen des emails basé à la fois sur le client et sur le Web, et méthodes disponibles dans EnCase v7 pour localiser
et analyser les banques de données d’emails
– Récupération et analyse des pièces jointes aux emails
– Examen des résultats de l’activité sur Internet, y compris les données provenant des cookies, de l’historique, du cache
web, et des favoris
Jour 4
Le quatrième jour débute par une discussion sur le processus d’impression sous les systèmes d’exploitation Windows, les
fichiers internes spool et shadow générés, et les données contenues dans chacun. La fonction et le contenu de la Corbeille
Windows sont étudiés en détail. Un examen du travail de la semaine révélera un important volume de données dans les
répertoires case de la classe. Les élèves étudieront les méthodes pour documenter, organiser et préparer un rapport final
professionnel, précis et articulé. Le cours se termine par un exercice pratique sous forme de réexamen/review des activités
de la semaine.
Les principaux domaines couverts le quatrième jour incluent :
• Récupération du gestionnaire d’impression
– Comprendre le processus d’impression et les fichiers associés
– Récupération des fichiers SPL et SHD files ainsi que la compréhension et l’extraction des éléments graphiques et
métadonnées qu’ils contiennent
• La Corbeille Windows
– Examiner la Corbeille, ses propriétés et fonctions
– Étudier la façon dont la Corbeille est mise en œuvre sous Windows 7
– Rapprocher/Lier les données de la Corbeille à l’utilisateur associé
– Entrées du Registre contrôlant les opérations de la Corbeille
• Création de rapports
– En utilisant les données accumulées au cours des travaux de la semaine, les élèves étudieront diverses méthodes
pour documenter, organiser et préparer des rapports professionnels pour leurs entités
– Les élèves enregistreront leurs rapports dans divers formats, y compris RTF, PDF, XML, et HTML puis compareront
les résultats afin de sélectionner le format qui répond le mieux aux besoins de leurs organismes respectifs
– Les élèves se verront présentés comment exporter l’ensemble des métadonnées liées aux fichiers et dossiers de leur
dossier d’enquête et la meilleure manière de stocker (store), présenter et interroger ces données