Forensics

Le forensics permet de traquer les hackers en analysant les traces numériques qu’ils laissent derrière eux, pour comprendre et reconstruire leurs actions.

C’est une discipline clé pour enquêter sur les intrusions et incidents de sécurité. En examinant les systèmes, disques, mémoires et réseaux, le forensics permet de retrouver les traces laissées par un attaquant afin de comprendre comment il est entré dans le système et quels ont été les impacts de ses actions. Cette pratique est essentielle pour les Blue Teams, mais aussi utile aux Red Teams pour apprendre à dissimuler leurs traces.

Cours ULaval

• IFT-3002 - Informatique d’enquête

Outils

• Autopsy : Analyse open-source de disques et fichiers.
• Volatility : Analyse de la mémoire vive.
• Wireshark : Analyse de trafic réseau.
• Eric Zimmerman : Suite d’outils spécialisés pour l’analyse des artéfacts Windows.
• Chainsaw et Hayabusa : Analyse rapide des journaux d’événements Windows et des artéfacts liés.
• Zeek : Moteur d’analyse et de détection pour le trafic réseau.
• OleTools : Analysateur de fichier Microsoft Office.

Lectures

• 0xdf Forensics : Solutionnaires de défis forensics.
• HackTheBox Academy Introduction to Digital Forensics
• HackTheBox Academy User Behavior Forensics

Vidéos

• Forensics - CSIUL : Playlist des formations passé du CSIUL sur le forensics.
• 13Cubed : Vidéos détaillées sur l’analyse forensics.
• IppSec Sherlocks : Solutionnaires vidéo des Sherlocks de HackTheBox.

Défis

• HackTheBox Sherlocks : Analyse de dumps (KAPE, Linux, mémoire, et autres) avec une série de questions guidant une enquête complète.
• HackTheBox Forensics : Défis ciblés pour trouver un flag en analysant des fichiers ou systèmes spécifiques.