top of page
ThinkCyber Innovations Wide White

EFFORT

4-8 SEMAINES

40h avec formateur

FORMAT

À votre rythme

ou avec formateur

CERTIFIE

City & Guilds

Assured

PRÉREQUIS

Basique

Connaissance de base du système d'exploitation Windows

Pour équipes et organisations — tarifs volume, formation avec formateur, scénarios sur mesure.

Demander un briefing →

1 600

NX212 – Windows Forensics

Valable 6 mois

// NX DEFENSE · NIVEAU 3 · NX212

Forensique Windows

(Windows Forensics)

Ce programme est traduit pour votre commodité. La formation réelle dans le simulateur — vidéos, livres, questions et tous les supports d'apprentissage — est dispensée en anglais.

Aperçu

Ce cours complet explore les mécanismes de stockage de données du système d'exploitation Windows et développe les compétences nécessaires pour mener des investigations numériques approfondies. Les participants acquièrent une expérience pratique avec des outils et techniques essentiels, de l'analyse de fichiers à la détection de logiciels malveillants, pour enquêter sur des incidents cybernétiques. Le programme couvre l'analyse de disques durs, la récupération de données, l'examen du registre Windows, l'analyse de mémoire volatile, et l'investigation du réseau. Conçu pour les enquêteurs en cybersécurité et les professionnels de la réponse aux incidents, ce cours fournit les compétences techniques nécessaires pour découvrir des preuves numériques dans des environnements Windows complexes.

Objectifs d'apprentissage

À la fin de ce cours, les étudiants seront capables de :

  • Analyser les structures de fichiers et de disques en utilisant des éditeurs hexadécimaux et interpréter diverses méthodes d'encodage

  • Récupérer des fichiers supprimés et des données fragmentées à l'aide de techniques de récupération automatisée

  • Extraire et analyser les métadonnées des fichiers Windows pour établir des chronologies d'activités

  • Identifier et extraire des informations cachées à l'aide de techniques de stéganographie

  • Examiner les structures de systèmes de fichiers, y compris la Master File Table (MFT), en utilisant le Forensic Toolkit (FTK)

  • Extraire et interpréter les données du registre Windows, en particulier NTUSER.DAT, pour découvrir des preuves d'activités utilisateur

  • Analyser les artefacts numériques des navigateurs, des copies fantômes de volume et d'autres sources pour reconstruire le comportement des utilisateurs

  • Créer et analyser des images de mémoire en utilisant Volatility pour extraire des données volatiles

  • Examiner les journaux d'événements Windows et configurer des stratégies d'audit pour l'investigation forensique

  • Capturer et analyser le trafic réseau Windows pour identifier les connexions suspectes

  • Effectuer une analyse statique et dynamique de logiciels malveillants pour identifier et comprendre les menaces

Modules de cours

  1. Files and Disks (Fichiers et disques)
    Ce module établit les bases de la forensique Windows en couvrant les systèmes d'encodage, les formats binaires et hexadécimaux, et les tailles numériques. Les participants apprennent à utiliser des éditeurs hexadécimaux pour examiner les structures de fichiers et les disques, comprendre les décalages de données, et explorer les caractéristiques uniques des disques SSD pertinents pour l'investigation forensique.
     

  2. Automatic Carving (Récupération automatique)
    Les étudiants maîtrisent les outils et techniques avancés pour la récupération automatisée de fichiers et la récupération de données. Ce module enseigne comment récupérer des fichiers supprimés ou fragmentés à partir de disques et d'images en utilisant des logiciels spécialisés, une compétence essentielle pour reconstituer des preuves numériques lors d'investigations.
     

  3. Metadata (Métadonnées)
    Ce module explore l'importance des métadonnées dans les investigations forensiques Windows. Les participants apprennent à extraire et interpréter les métadonnées des fichiers système, comprendre les horodatages et les attributs de fichiers, et utiliser ces informations pour établir des chronologies d'activités et corroborer des preuves.
     

  4. Steganography (Stéganographie)
    Les étudiants acquièrent une expérience pratique avec les techniques de stéganographie, apprenant à identifier, extraire et analyser des informations cachées dans divers types de fichiers. Le module couvre à la fois l'analyse visuelle et les outils automatisés pour détecter du contenu stéganographique, ainsi que la création de données cachées pour mieux comprendre les méthodes de dissimulation.
     

  5. File System Analysis (Analyse du système de fichiers)
    Ce module approfondit l'analyse des structures de disques durs, en se concentrant sur les fichiers système Windows et la Master File Table (MFT). Les participants acquièrent la maîtrise du Forensic Toolkit (FTK) pour analyser les images de disques, récupérer des fichiers supprimés et naviguer dans les structures de stockage de données complexes.
     

  6. Registry Analysis (Analyse du registre)
    Les étudiants apprennent à extraire et interpréter des données du registre Windows, comprenant la structure des ruches du registre et en se concentrant particulièrement sur NTUSER.DAT. Le module couvre les techniques de recherche générale dans le registre, l'utilisation de visualiseurs spécialisés, et la découverte de preuves d'activités utilisateur, de logiciels installés et de configurations système.
     

  7. Artifacts (Artefacts)
    Ce module se concentre sur l'identification et l'analyse des artefacts numériques laissés par les activités des utilisateurs, avec un accent particulier sur la forensique des navigateurs. Les participants apprennent à localiser l'historique de navigation, le contenu en cache, les fichiers téléchargés et les copies fantômes de volume, puis à corréler ces différentes preuves numériques pour créer des chronologies d'activités complètes.
     

  8. Memory Analysis (Analyse de la mémoire)
    Les étudiants maîtrisent les techniques de création d'images de mémoire et leur analyse à l'aide de Volatility. Ce module couvre l'importance des données RAM volatiles dans les investigations, les méthodes de récupération de données à partir de dumps de mémoire, et l'interprétation des résultats de l'analyse de mémoire pour obtenir des informations sur l'état du système et les activités des utilisateurs.
     

  9. Windows Events (Événements Windows)
    Ce module enseigne l'analyse des journaux d'événements en utilisant Windows Event Viewers et l'importance des stratégies d'audit. Les participants apprennent à naviguer dans les journaux système, de sécurité et d'applications, à configurer des politiques d'audit efficaces pour un enregistrement complet, et à effectuer des recherches personnalisées pour identifier des activités spécifiques ou des anomalies.
     

  10. Network Analysis (Analyse réseau)
    Les étudiants acquièrent des compétences en forensique réseau Windows, apprenant à analyser les protocoles et services réseau, à capturer et examiner le trafic réseau, et à identifier les connexions suspectes. Le module couvre la cartographie du réseau, l'analyse de paquets, et la détection de connexions darknet pour reconstruire les événements réseau et tracer les origines d'attaques potentielles.
     

  11. Malware Analysis (Analyse de logiciels malveillants)
    Le module final couvre les techniques d'analyse statique et dynamique pour identifier et comprendre les logiciels malveillants affectant les systèmes Windows. Les participants apprennent à examiner le code de logiciels malveillants sans l'exécuter, à observer le comportement des logiciels malveillants dans des environnements contrôlés, à détecter les signatures de logiciels malveillants connus, et à comprendre les mécanismes de défense avancés comme NX (No Execute).

// Où vous ferez tout cela

Vous ne le verrez pas.

Vous le ferez en direct.

Chaque module ci-dessus s'exécute dans Cyberium Arena — vrais outils sur de vrais nœuds, déployés sur Internet en direct, avec du renseignement sur les menaces en temps réel dès votre première connexion. Ce n'est pas un sandbox. Ce n'est pas une VM. Ce n'est pas une vidéo.

Internet Live

Vrais outils

Bac à Sable

VM

Cyberium2_Login.png
Cyberium2_Student_1.png
Cyberium2_Training_Stats.png
Cyberium2_Specto_Cases.png

Modalités et évaluation

Le cours offre une formation pratique intensive à travers des exercices avec des outils forensiques standards de l'industrie, y compris des éditeurs hexadécimaux, FTK, Volatility et des visualiseurs de registre. Les participants effectuent des analyses réelles de disques, de mémoire et de réseau, développant des compétences pratiques à travers des investigations simulées. L'apprentissage est évalué par des exercices pratiques et des projets qui recréent des scénarios forensiques réels, garantissant que les étudiants peuvent appliquer les techniques apprises dans des contextes professionnels.

Certification

Certificat d'achèvement. Ce cours prépare les étudiants à la certification ThinkCyber Windows Forensics, accréditée par City & Guilds.

1 600

NX212 – Windows Forensics

Valable 6 mois

Quand vous voulez

De confiance depuis 2016 — police nationale, unités cyber militaires et entreprises Fortune 500 · Certifications City & Guilds Assured

↑ Retour en haut

bottom of page