Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Supports de cours
  2. Investigation numérique Microsoft Windows et GNU/Linux - Le guide complet pour l'analyste en investigation numérique

Investigation numérique Microsoft Windows et GNU/Linux Le guide complet pour l'analyste en investigation numérique

2 avis

Informations

Livraison possible dès le 17 octobre 2024
  • Livraison à partir de 0,01 €
  • Version en ligne offerte pendant 1 an
Livres rédigés par des auteurs francophones et imprimés à Nantes

Caractéristiques

  • Livre (broché) - 17 x 21 cm
  • ISBN : 978-2-409-04490-8
  • EAN : 9782409044908
  • Ref. ENI : EPINVNUM

Informations

  • Consultable en ligne immédiatement après validation du paiement et pour une durée de 10 ans.
  • Version HTML
Livres rédigés par des auteurs francophones et imprimés à Nantes

Caractéristiques

  • HTML
  • ISBN : 978-2-409-04491-5
  • EAN : 9782409044915
  • Ref. ENI : LNEPINVNUM
Ce livre décrit les techniques et les méthodologies utilisées par les professionnels de l’investigation numérique sur les environnements Microsoft Windows et GNU/Linux. Il a été pensé et conçu pour des professionnels dans le domaine de la réponse à incident et de l’investigation numérique ainsi que pour des passionnés par la cybersécurité, curieux et recherchant une approche théorique et pra­tique. Le livre propose ces deux types d’approches complémentaires et il s’agit d’un des rares livres...
Consulter des extraits du livre en ligne Aperçu du livre papier
  • Niveau Expert
  • Nombre de pages 618 pages
  • Parution mai 2024
  • Niveau Expert
  • Parution mai 2024
Ce livre décrit les techniques et les méthodologies utilisées par les professionnels de l’investigation numérique sur les environnements Microsoft Windows et GNU/Linux. Il a été pensé et conçu pour des professionnels dans le domaine de la réponse à incident et de l’investigation numérique ainsi que pour des passionnés par la cybersécurité, curieux et recherchant une approche théorique et pra­tique. Le livre propose ces deux types d’approches complémentaires et il s’agit d’un des rares livres écrits en français sur ce sujet.

La partie théorique du livre présente de nombreux concepts fondamentaux relatifs aux systèmes d’exploitation et une description des méthodologies régissant l’investigation numérique sur le ter­rain. Les chapitres détaillent les techniques inhérentes à la réalisation de prélèvements en environ­nement physique et virtuel ainsi que les particularités des nombreux hyperviseurs. Ces prélève­ments seront vérifiés puis rendus accessibles aux analystes via des méthodes détaillées et précises prenant en compte les contraintes imposées par les méthodologies retenues.

Un chapitre est dédié aux outils afin de proposer une référence permettant aux nouveaux analystes comme aux expérimentés de répondre efficacement aux problématiques rencontrées. Les solutions permettant de créer son propre environnement d’analyse et de le déployer sur l’hyperviseur de son choix sont également présentées.

Dans la seconde partie du livre, quatre études de cas illustrent par la pratique les concepts, outils et méthodes présentés dans la première partie.
Avant-propos
  1. À qui s’adresse cet ouvrage ?
  2. Structure et éléments abordés
Méthodologie et référentiels
  1. La menace
  2. Moyens de défense
    1. 1. SOC
    2. 2. CSIRT/CERT
    3. 3. Compléments
  3. Réponse à incident et investigation numérique
    1. 1. Réponse à incident
      1. a. NIST
      2. b. SANS Institute
      3. c. PRIS
      4. d. OODA
      5. e. Plan de réponse à incident
    2. 2. Investigation numérique
      1. a. Digital Forensic Research Workshop
      2. b. Abstract Digital Forensics Model
      3. c. Integrated Digital Investigation Process
      4. d. Enhanced Digital Investigation Process
      5. e. Méthode retenue
    3. 3. Artefacts
  4. Normes et standards
    1. 1. Normes
    2. 2. Standardisation des échanges
      1. a. Unified Cybersecurity Ontology (UCO)
      2. b. Cyber-investigation Analysis Standard Expression (CASE)
      3. c. Exemple d’utilisation
  5. Références
Les concepts fondamentaux de Microsoft Windows
  1. Introduction
  2. Concepts fondamentaux
    1. 1. Les processus
    2. 2. La mémoire vive
    3. 3. Les partitions
      1. a. BIOS/MBR
      2. b. UEFI/GPT
    4. 4. Les systèmes de fichiers
      1. a. NT File System (NTFS)
      2. b. Extended File Allocation Table (exFAT)
    5. 5. Fonctionnalités
      1. a. Base de registre
      2. b. Mécanismes de persistance
      3. c. Mécanismes de chiffrement
      4. d. Volume Shadow Copy Service
      5. e. Windows on Windows
      6. f. Sous-système Windows pour Linux
  3. Artefacts
    1. 1. Journaux d’événements
      1. a. Fichiers EVTX
      2. b. Event Tracing for Windows
      3. c. Dynamic Tracing
      4. d. Exploitation des EVTX
    2. 2. Information sur le système
    3. 3. Exécution des programmes
      1. a. Userassist
      2. b. MUICache
      3. c. Prefetch
      4. d. AmCache
      5. e. Shimcache
      6. f. Background Activity Moderator/Desktop ActivityModerator
      7. g. RecentsApps
      8. h. System Resource Usage Monitor
      9. i. Tâches planifiées
      10. j. RunMRU
    4. 4. Actions sur les fichiers et répertoires
      1. a. JumpList
      2. b. ShellBags
      3. c. Raccourcis
      4. d. Recent files
      5. e. Last Visited MRU
      6. f. Open/Save MRU
    5. 5. Navigateur web
      1. a. Google Chrome
      2. b. Microsoft Internet Explorer/Edge
      3. c. Mozilla Firefox
    6. 6. Périphérique USB
    7. 7. Réseaux
    8. 8. Divers
      1. a. Notifications
      2. b. W10 Timeline
      3. c. Fichiers supprimés
      4. d. Task Bar Feature Usage
      5. e. Search - WorldWheelQuery
      6. f. Microsoft Defender
  4. Références
Les concepts fondamentaux de GNU/Linux
  1. Introduction
  2. Historique
  3. Présentation de GNU/Linux
    1. 1. Noyau
    2. 2. Processus
    3. 3. Mémoire virtuelle
    4. 4. Stockage physique des données
    5. 5. Gestion par volumes logiques
    6. 6. Chiffrement via LUKS
    7. 7. Système de fichiers
      1. a. Système de fichiers EXT
      2. b. Autres systèmes de fichiers
      3. c. Système de fichiers virtuel
      4. d. Système de fichiers temporaire
      5. e. Partition d’échange
      6. f. L’arborescence
    8. 8. Shells
  4. Artefacts
    1. 1. Système
      1. a. Données temporelles
      2. b. Version du système
      3. c. Liste des modules noyau chargés au démarrage
      4. d. Réseau
      5. e. SSH
      6. f. Gestionnaire de paquets
      7. g. SELinux
    2. 2. Répertoire et fichiers
    3. 3. Utilisateurs
      1. a. L’historique
      2. b. Linux desktop
      3. c. La navigation web
      4. d. Périphérique USB
    4. 4. Fichiers de logs
      1. a. Syslog
      2. b. Fichiers intéressants
      3. c. systemd
      4. d. Auditd
      5. e. Services
      6. f. Logs applicatifs
    5. 5. Tâches planifiées
  5. Références
Comment effectuer vos prélèvements
  1. Introduction
  2. Prélèvements physiques
    1. 1. Organisation
    2. 2. Contraintes matérielles
    3. 3. Format des prélèvements
    4. 4. Réflexions
      1. a. Type de port USB
      2. b. Vitesse des disques de stockage
      3. c. SMART
      4. d. Protection des disques durs et SSD
    5. 5. Mémoire vive
      1. a. Environnement Microsoft Windows
      2. b. Environnement GNU/Linux
    6. 6. Mémoire de masse
  3. Prélèvements en environnement virtualisé
    1. 1. Introduction
    2. 2. VMware ESXI
      1. a. Mémoire vive
      2. b. Mémoire de masse
    3. 3. Hyper-V
      1. a. Mémoire vive
      2. b. Mémoire de masse
    4. 4. Xen
    5. 5. KVM/QEMU
  4. Conteneurs
    1. 1. Persistance des données
    2. 2. Navigation
    3. 3. Prélèvement des processus
  5. Triage
    1. 1. Live triage
    2. 2. Triage post mortem
    3. 3. Outils
  6. Bonnes pratiques
  7. Références
Primo analyse
  1. Introduction
  2. Rendre son prélèvement exploitable
    1. 1. La mémoire de masse
  3. Analyse par signature
    1. 1. IoC
    2. 2. Antivirus
    3. 3. Base de données d’empreintes numériques
    4. 4. YARA et Sigma
  4. Mécanismes anti-forensic
    1. 1. Suppression des données
    2. 2. Modification des métadonnées
    3. 3. Chiffrement des données
    4. 4. Manipulation des paramètres du RAID
    5. 5. Manipulation des signatures des fichiers
  5. Références
Boîte à outils
  1. Introduction
  2. Collecte
    1. 1. Live forensic
      1. a. Cybertriage
      2. b. CyLR
      3. c. DFIR Linux Collector
      4. d. DFIR ORC
      5. e. FastIR artifacts
      6. f. GRR
      7. g. Kroll Artifact Parser and Extractor
      8. h. Linux Explorer
      9. i. osquery
      10. j. Plaso
      11. k. Unix-like Artifacts Collector
      12. l. Velociraptor
    2. 2. Mémoire de masse
      1. a. Prélèvement hardware
      2. b. dd/dcfldd/dc3dd
      3. c. ddrescue
      4. d. EnCase EWF
    3. 3. Mémoire vive post mortem
      1. a. AVML
      2. b. Belkasoft Live RAM Capturer
      3. c. Dumpit
      4. d. FTK imager
      5. e. LiME
      6. f. Magnet RAM Capture
      7. g. Microsoft LiveKd
      8. h. WinPmem
      9. i. X-Ways Imager
    4. 4. Compléments
  3. Examen
    1. 1. Chkrootkit
    2. 2. ClamAV
    3. 3. Hfind
    4. 4. Loki et Thor
    5. 5. MISP
    6. 6. rkhunter
    7. 7. Suricata
    8. 8. Base de connaissance
      1. a. Analyse des noms de domaines
      2. b. Analyse des e-mails
      3. c. Analyse des adresses IP
      4. d. Analyse des URL
  4. Analyse
    1. 1. Autopsy
    2. 2. DFTimewolf
    3. 3. Freta
    4. 4. Hashcat
    5. 5. Kuiper
    6. 6. swap_digger
    7. 7. TAPIR
    8. 8. Timesketch
    9. 9. Volatility
      1. a. Création d’un profil Windows (Volatility2)
      2. b. Création d’un profil Linux (Volatility3)
      3. c. Plugins
    10. 10. Suite logicielle
      1. a. Suite d’outils Didier Stevens
      2. b. pffexport
    11. 11. Analyse de la base de registre
    12. 12. Analyse des binaires
      1. a. Capa
      2. b. Débogueur/désassembleur
      3. c. Detect-It-Easy
      4. d. PeStudio
      5. e. ViperMonkey
    13. 13. Analyse des événements de sécurité
      1. a. Chainsaw
      2. b. Evtx2json
      3. c. EvtxECmd
      4. d. Hayabusa
      5. e. Suite Elastic
      6. f. Splunk
      7. g. Zircolite
  5. Carving
    1. 1. Bulk_extractor
    2. 2. Extundelete
    3. 3. Ext4magic
    4. 4. Foremost
    5. 5. PhotoRec
    6. 6. Scalpel
    7. 7. The Sleuth Kit
  6. Rapport
    1. 1. DFIR-IRIS
    2. 2. OSForensics
  7. Distributions dédiées et personnalisées
    1. 1. Bitscout
    2. 2. CSI Linux
    3. 3. Flare-VM
    4. 4. SIFT Workstation
    5. 5. Tsurugi
    6. 6. WinFE
  8. Création d'un laboratoire et de machines virtuelles personnalisées
    1. 1. Solutions existantes
    2. 2. Phase 1 : création des modèlesde machines virtuelles
      1. a. Ansible
      2. b. Packer
    3. 3. Phase 2 : déploiement des machinesvirtuelles
      1. a. Vagrant
      2. b. Terraform
      3. c. Ansible
  9. Conclusion
Microsoft Windows : études de cas
  1. Introduction
  2. Étude de cas - Orvil
    1. 1. Contexte
    2. 2. Identification
    3. 3. Collecte
    4. 4. Examen
    5. 5. Analyse
      1. a. Mémoire vive
      2. b. Mémoire de masse
      3. c. Analyse des logs
    6. 6. Conclusion
  3. Étude de cas - Devdown
    1. 1. Contexte
    2. 2. Collecte
    3. 3. Poste secrétaire
      1. a. Analyse de la mémoire vive
      2. b. Analyse de la mémoire de masse
      3. c. Analyse des logs
      4. d. Conclusion
    4. 4. Serveur Active Directory
      1. a. Analyse des journaux d’événements
      2. b. Analyse de la mémoire vive
    5. 5. Conclusion
GNU/Linux : études de cas
  1. Introduction
  2. Étude de cas - DevTeam
    1. 1. Contexte
    2. 2. Prélèvement
    3. 3. Analyse
      1. a. Mémoire vive
      2. b. Logs
    4. 4. Conclusion
  3. Étude de cas - Devdown
    1. 1. Contexte
    2. 2. Prélèvement
    3. 3. Analyse
      1. a. Mémoire vive
      2. b. Mémoire de masse
    4. 4. Conclusion
Remerciements
  1. Introduction
5/5 2 avis

Très bien, conforme à mes attentes, je recommande !

Anonyme

Très beau livre, détaillé. Correspond tout à fait à mes attentes. Attention cependant, selon moi, il est très fortement recommandé d'avoir quelques notions de bases dans certains domaines, si l'on ne veut pas être vite noyé dans certains passages.

Jean-Philippe G
Auteur : Alain MENELET

Alain MENELET

Alain MENELET a été responsable d’équipes de réponse à incident au sein du ministère des armées ainsi que chef de projet d’un SOC, ce qui lui permet d’avoir une vision complète des processus régissant la détection et la réponse à un incident cyber. Il est également l’auteur de nombreux articles et enseigne l’investigation numérique, les stratégies de détection au sein des SOC et l’analyse de malwares. Aujourd’hui responsable du centre d’excellence cyberdéfense dans le domaine aérospatial au sein de l’école de l’Air et de l’Espace, il propose un livre empreint de toute son expertise sur l’investigation numérique en environnement Microsoft Windows et GNU/Linux.
En savoir plus

Nos nouveautés

voir plus