Catalogue des formations de l’Université de Lorraine

Code Malveillant et analyse mémoire avec Volatility

Savoir mener une investigation numérique ou à une réponse à incident

Détails sur cette formation

Localisation Nancy et agglomération
Modalités d'études Présentiel
Tarif 2200 euros - Repas compris
La formation délivre Attestation de formation
Eligible au Compte Personnel de Formation Non
Contact(s) mines-nancy-dfsc@univ-lorraine.fr

Durée et dates de la formation

Dates de la formation Nous contacter
Durée de la formation 4 jours - 24 heures

Description

Savoir mener une investigation numérique ou à une réponse à incident est devenu une compétence indispensable pour de nombreux professionnels.

Malheureusement, la plupart des analystes forensiques fait encore l'impasse sur la collecte et le traitement des données volatiles contenues notamment au sein de la mémoire vive (RAM).

La mémoire volatile contient une quantité importante d'informations en rapport avec l'état du système perdues lors de l'extinction de ce dernier.

Les données peuvent concerner les informations réseaux, le registre, le système de fichiers, mais aussi l'utilisateur directement (mots de passe, clés de chiffrement, historique de navigation, traces...).

Objectifs pédagogiques :

  • acquisition de mémoire RAM
  • fonctionnement de volatility
  • structure interne de la mémoire

Tout savoir sur cette formation

Module 1 : Acquisition de mémoire RAM 

  • acquisition directe à partir de la RAM, Acquisition de la RAM d'une VM
  • acquisition physique, Acquisition à partir de fichiers d'hibernation

Module 2 : Le fonctionnement de Volatility

  • architecture du framework Volatility
  • présentation générale des plugins
  • présentation générale des modules et leur intérêt
  • utilisation des profils
  • principes et limitations de Volatility

Module 3 : Investigation sur l'utilisateur

  • emploi de commandes de Volatility : présentation des commandes, interface avec l'utilisateur, traitement des résultats
  • cas pratiques présentés : recherche de clés maitres pour TrueCrypt et pour BitLocker, recherche d'exécutables en mémoire (PE), localisation d'images

Module 4 : Structure interne de la mémoire I

  • identification des indices d'utilisation de la machine
  • cas pratiques présentés : identification des sites visités, recherche de fichiers effacés, historique des connexions, timeline et analyse de logs, liste des applications utilisées

Module 5 : Structure interne de la mémoire II

  • reconstitution de l'utilisation d'une machine
  • développement d'un plugin pour Volatility
  • cas pratique présentés : recherche de mots de passe, recherche de clés PGP pour le mail

Module 6 : Mise en pratique

  • dans cette dernière partie, nous montrons comment faire une analyse de la mémoire sur un cas concret
  • une machine compromise est mise à disposition des étudiants
  • le formateur montre comment procéder à son analyse

Et avant / et après

Prérequis :

  • connaissances de base sur les systèmes d'exploitation
  • connaissances élémentaires en langage Python (boucles, listes, ensemble, chaînes de caractères) et bash/console

Equipement nécessaire :

  • un ordinateur portable disposant des éléments suivants : - Système d'exploitation (à jour) : Windows XP, 7, ou 8 - RAM : 4 Go minimum - WiFi - VMWare

Public concerné :

  • toute personne ayant des connaissances de base sur les systèmes d'exploitation et désirant savoir mener une investigation numérique ou apporter une réponse à incident

 

Contactez-nous !

Posez-nous toutes vos questions, nous y répondrons dès que possible.

Lire les témoignages des anciens participants

Donnez votre avis

VOUS ETES ?

Choisissez votre profil