EnCase Computer Forensics I

EnCase® Computer Forensics I - Plan du cours
Jour 1
Le premier jour démarre par une leçon sur l’utilisation d’EnCase® Forensic version 7 en créant un nouveau cas et en
utilisant la navigation dans l’interface d’EnCase Forensic v7. Les participants se voient expliqués comment utiliser EnCase
Forensic v7 pour acquérir une copie complète des données à partir de supports amovibles dans les règles de l’art de
l’expertise judiciaire en préservant l’intégrité de la preuve. La notion de preuve numérique et la façon de son intégrité sont
également au programme.
Les principaux thèmes couverts le premier jour comprennent :
• Création d’un cas dans EnCase Forensic v7
• Navigation dans l’environnement EnCase Forensic v7
• Comprendre le concept de preuve numérique et son impact sur l’enquête ainsi que l’importance et les
modalités pratiques de la manipulation des éléments de preuve
• Concepts EnCase Forensic v7
– Sauvegarder et préserver les données de preuve numérique
• Les bases de l’acquisition d’une copie forensic des données d’un support amovible, y compris l’utilisation du
logiciel de blocage en écriture de Guidance Software, FastBloc® SE
• Vérification de l’intégrité du fichier evidence pour en démontrer la validité
– Comment opérer un test validant les valeurs de hash et CRC utilisés dans le fichier evidence
Jour 2
Le deuxième jour débute par un exercice pratique sur les techniques apprises la veille pour créer un fichier de preuves,
puis se poursuit par une explication de la façon dont fonctionnent les ordinateurs (en prêtant particulièrement attention à
l’incidence sur les examens inforensiques). L’acquisition de disque dur est couverte, à l’aide d’un CD Linux forensic autour
de LinEn, et des méthodes de connexion disque-à-disque. Les stagiaires apprendront comment prévisualiser correctement
un système informatique avant son acquisition, en utilisant la fonction Direct Network Preview. Les participants apprendront
comment utiliser les signets et utiliser la fonction de marquage incluse dans EnCase Forensic v7. L’enseignement se
poursuivra par une discussion détaillée sur les systèmes de fichiers FAT, ainsi qu’une vue d’ensemble des systèmes de
fichiers NT et exFAT, et les participants apprendront comment gérer correctement les fichiers de preuves.
Les principaux domaines abordés le deuxième jour incluent :
• Comprendre le fonctionnement des ordinateurs
– Logiciels et terminologie associée
– Le CMOS, BIOS, et séquence de démarrage (boot sequence) et POST
– Interprétation des données binaires et hexadécimales
– Les bases du codage de texte
• Acquisition d’un disque dur ou tout autre support à partir d’un ordinateur hors tension à l’aide de LinEn
• Comment utiliser la fonction Direct Network Preview pour prévisualiser un ordinateur en fonctionnement, et
la manière de capturer la mémoire vive RAM et les informations des différents processus seront également
présentées
• Résultats de la recherche par signet et par tag
• Systèmes de fichiers NT/FAT/ExFAT
– Comment ces systèmes de fichiers gèrent ils les données sur leurs volumes respectifs, ainsi que ce qui se produit
lorsqu’un fichier est créé ou supprimé
• Traitement des éléments de preuve
– Utilisation d’EnCase Evidence Processor
– Préparation du fichier evidence pour le traitement
– Gestion et utilisation des différents paramètres et barres d’outils de l’Evidence Processor
Jour 3
La troisième journée débute par une introduction aux techniques de recherche et à la manière de voir les résultats.
L’enseignement continue sur les descriptions de fichiers et l’utilisation de signatures de fichiers afin d’identifier correctement
les types de fichiers. Les stagiaires participeront à un exercice pratique, leur permettant de mettre en pratique les
techniques de recherche et de gestion de signets abordées jusque-là. Les participants installeront des outils de
visualisation externes dans EnCase Forensic v7 et apprendront à copier des données à partir d’un fichier de preuves. Les
activités de la journée se concluent par une leçon sur la principale utilisation pratique des valeurs de hash afin d’identifier
les fichiers intéressants et exclure les fichiers connus.
Les principaux domaines couverts lors du troisième jour comprennent :
• Créer des requêtes de recherches multicritères liées à index et recherches brutes par mot-clé
• Visualiser et sauver les résultats de la recherche
– Méthodes de vérification
– Comment examiner les résultats
• Installer des outils externes pour visualiser les données depuis Encase.
• Descriptions de fichiers
– Discussion sur les catégories de fichiers et dossiers, et les icônes utilisées par EnCase Forensic v7
• Détail des options de copie.
• Analyse des signatures de fichiers
– Une comparaison automatisée de l’extension du fichier affichée avec le contenu réel du fichier
• Analyse Hash et entropie
– Utilisation de valeurs de hash sur la base du contenu logique du fichier afin d’identifier et/ou exclure des fichiers
– Utilisation de l’analyse de l’Entropie, une méthode de détermination de la similarité d’un fichier avec d’autres fichiers
Jour 4
Le quatrième jour démarre avec un exercice pratique sur la réalisation d’analyses de signatures et de hash.
L’enseignement de la journée débute par une leçon sur la recherche et la récupération de données à partir de l’espace non
alloué. Les étudiants apprendront ensuite à synthétiser éléments de preuve dans des rapports simples. Les enseignements
restants seront axés sur le maintien et la conservation des éléments de preuve. Les participants apprendront à utiliser la
nouvelle fonctionnalité Case Backup désormais incluse dans EnCase Forensic v7. Les élèves recevront des conseils et
orientations sur l’archivage ainsi que des instructions sur la manière de restaurer et ouvrer un dossier archivé. Les élèves
étudieront comment réacquérir des éléments de preuves afin de modifier les paramètres du fichier evidence tout en
maintenant l’intégrité des données. Les participants pourront observer eux-mêmes comment EnCase Forensic v7 peut
détecter et identifier toute modification apportée au contenu d’un fichier de preuves. On mettra en relief l’importance d’une
manipulation correcte du fichier de preuve. Des exemples de bonnes pratiques dans ce domaine seront donnés aux
participants. Le cours se conclut par un exercice pratique final sur les enseignements de la semaine.
Les principaux domaines couverts lors du quatrième jour incluent :
• Localisation et récupération manuelles d’éléments de preuves dans l’espace non alloué, avec les
programmes EnScript®, et en utilisant les modules EnCase Evidence Processing
• Création de rapports de base et comment utiliser la fonctionnalité Review Package
– Exportation de rapports
– Consolider les résultats de la recherche dans un review package
• Utilisation de Case Backup pour protéger et sécuriser les preuves stockées
• Réacquisition et restauration de fichiers evidence
– Souvent exigées par une ordonnance d’un tribunal ; nécessaire pour récupérer des données et/ou examiner le
fonctionnement du système hôte en temps réel
• Archivage et réouverture d’un dossier d’enquête archivé