Le cours Windows Registry Forensics vous montre comment examiner le registre en direct, l'emplacement des fichiers de registre sur l'image forensique et comment extraire les fichiers.
Offrez à votre carrière le cadeau de Coursera Plus avec $160 de réduction, facturé annuellement. Économisez aujourd’hui.
L'expertise du registre Windows
Ce cours fait partie de Spécialisation Informatique légale
Instructeur : Denise Duffy
4 431 déjà inscrits
Inclus avec
(47 avis)
Détails à connaître
Ajouter à votre profil LinkedIn
1 devoir
Découvrez comment les employés des entreprises prestigieuses maîtrisent des compétences recherchées
Élaborez votre expertise du sujet
- Apprenez de nouveaux concepts auprès d'experts du secteur
- Acquérez une compréhension de base d'un sujet ou d'un outil
- Développez des compétences professionnelles avec des projets pratiques
- Obtenez un certificat professionnel partageable
Obtenez un certificat professionnel
Ajoutez cette qualification à votre profil LinkedIn ou à votre CV
Partagez-le sur les réseaux sociaux et dans votre évaluation de performance
Il y a 8 modules dans ce cours
Découvrez ce qu'est le registre de Windows et pourquoi il est important dans les enquêtes de criminalistique numérique. Ce module explore l'emplacement et la structure des ruches d'enregistrement dans un environnement réel et non réel, ainsi que les types de preuves médico-légales trouvées dans le registre Windows. Cela comprendra : les informations relatives au compte de l'utilisateur, les paramètres généraux et spécifiques à l'utilisateur, l'accès aux fichiers, l'installation et l'exécution de programmes, les termes de recherche, les emplacements de démarrage automatique et les périphériques connectés au système. Veuillez utiliser les liens et les outils fournis dans les deux sections de lecture pour obtenir les URL et les autres téléchargements dont vous aurez besoin pour le cours.
Inclus
2 vidéos3 lectures
Apprenez à configurer un poste de travail judiciaire pour examiner correctement le registre de Windows. Ce module examine l'emplacement des fichiers du Registre dans le système d'exploitation Windows et les nombreux outils disponibles gratuitement pour visualiser la structure des fichiers et les artefacts contenus dans le Registre Windows. Il comprend des instructions sur l'installation, l'utilisation correcte et la validation de votre logiciel d'investigation, montrant comment tirer le meilleur parti de vos outils automatisés tout en conservant une compréhension de ce que l'outil fait en coulisses.
Inclus
4 vidéos
Ce module présente une analyse approfondie des artefacts contenus dans le fichier de stockage NTUser.Dat. Ce module montre aux examinateurs comment localiser les programmes et les applications, les volumes montés et les périphériques connectés spécifiques à un utilisateur, les termes de recherche de l'utilisateur et les URL saisis. Les examinateurs seront également en mesure de localiser et d'identifier les fichiers ouverts et sauvegardés, les URL saisis, les programmes spécifiques à l'utilisateur définis pour s'exécuter au démarrage, ainsi que l'installation et l'exécution d'applications. Les examinateurs seront en mesure de localiser, d'examiner et d'interpréter les listes MRU (Most Recently Used), UserAssist, les paramètres système de l'utilisateur et les fichiers récemment utilisés.
Inclus
9 vidéos
Ce module explique les artefacts forensiques trouvés dans le fichier SAM (Security Account Manager), qui stocke et organise les informations sur chaque utilisateur d'un système. Ce module montre comment identifier chaque compte utilisateur sur une machine locale à l'aide de l'identifiant relatif. Les examinateurs peuvent également apprendre à interpréter les informations relatives au nom d'utilisateur, y compris les dates et heures de connexion des utilisateurs et le nombre de connexions. Le module montre comment identifier la machine sur laquelle le compte utilisateur a été créé, en interprétant les SID (identifiants de machine/domaine) d'un utilisateur et en récupérant les hachages des mots de passe de l'utilisateur.
Inclus
5 vidéos
Ce module montre aux examinateurs comment localiser les informations de valeur médico-légale relatives à l'exécution et à l'installation d'applications contenues dans le fichier de stockage de logiciels. Le module fournit une vue d'ensemble des artefacts forensiques trouvés dans le fichier de la ruche logicielle, tels que les programmes et applications installés, le type de système d'exploitation, la date et l'heure d'installation, les informations sur le réseau sans fil, l'association de fichiers, les informations de connexion au domaine, le dernier utilisateur connecté, les programmes définis pour s'exécuter au démarrage et le suivi des périphériques USB qui ont été attachés au système.
Inclus
3 vidéos
Ce module démontrera les preuves de la valeur médico-légale contenues dans le fichier de stockage du système. Ce module explore le fichier de stockage du système en montrant comment déterminer le jeu de contrôle actuel, le nom de l'ordinateur, la date et l'heure du dernier arrêt, les paramètres et l'emplacement du crash dump, les services configurés pour être exécutés au démarrage, les paramètres des fichiers de pages, les paramètres de prélecture, les paramètres de l'heure du dernier accès au fichier, AppCompat Cache, BAM (moniteur d'activités en arrière-plan) et les connexions et déconnexions de périphériques USB avec les dates et les heures.
Inclus
3 vidéos
Ce module identifie et explique les artefacts forensiques trouvés dans le fichier ruche UsrClass.dat. Ce module se penche sur la ruche UsrClass.dat. L'examinateur apprendra à expliquer les ShellBags de Windows, qui suivent les fichiers zip spécifiques à l'utilisateur, l'accès aux dossiers et les paramètres, y compris les dates et les heures, même sur les dossiers supprimés et les supports amovibles. L'examinateur apprendra également à interpréter la sous-clé MuiCache, qui inclut les applications installées. L'application Microsoft Photo, qui affiche les fichiers images récemment consultés, sera également étudiée.
Inclus
2 vidéos
Ce module examine le fichier de stockage AmCache, qui stocke des informations relatives à l'exécution des applications. Un examen forensique du fichier de stockage AmCache montre les éléments suivants : installation de l'application, date et heure de la première exécution de l'application, chemin d'accès au fichier exécutable, source de l'application, valeur de hachage SHA-1 du fichier exécutable, périphériques connectés "plug-and-play", GUID des volumes montés et informations sur le matériel du système.
Inclus
2 vidéos1 devoir
Instructeur
Offert par
Recommandé si vous êtes intéressé(e) par Sécurité
Pour quelles raisons les étudiants sur Coursera nous choisissent-ils pour leur carrière ?
Avis des étudiants
Affichage de 3 sur 47
47 avis
- 5 stars
78,72 %
- 4 stars
19,14 %
- 3 stars
2,12 %
- 2 stars
0 %
- 1 star
0 %
Ouvrez de nouvelles portes avec Coursera Plus
Accès illimité à plus de 7 000 cours de renommée internationale, à des projets pratiques et à des programmes de certificats reconnus sur le marché du travail, tous inclus dans votre abonnement
Faites progresser votre carrière avec un diplôme en ligne
Obtenez un diplôme auprès d’universités de renommée mondiale - 100 % en ligne
Rejoignez plus de 3 400 entreprises mondiales qui ont choisi Coursera pour les affaires
Améliorez les compétences de vos employés pour exceller dans l’économie numérique
Foire Aux Questions
L'accès aux cours et aux devoirs dépend de votre type d'inscription. Si vous suivez un cours en mode audit, vous pourrez consulter gratuitement la plupart des supports de cours. Pour accéder aux devoirs notés et obtenir un certificat, vous devrez acheter l'expérience de certificat, pendant ou après votre audit. Si vous ne voyez pas l'option d'audit :
Il se peut que le cours ne propose pas d'option d'audit. Vous pouvez essayer un essai gratuit ou demander une aide financière.
Le cours peut proposer l'option "Cours complet, pas de certificat" à la place. Cette option vous permet de consulter tous les supports de cours, de soumettre les évaluations requises et d'obtenir une note finale. Cela signifie également que vous ne pourrez pas acheter un certificat d'expérience.
Lorsque vous vous inscrivez au cours, vous avez accès à tous les cours de la Specializations, et vous obtenez un certificat lorsque vous terminez le travail. Votre certificat électronique sera ajouté à votre page de réalisations - de là, vous pouvez imprimer votre certificat ou l'ajouter à votre profil LinkedIn. Si vous souhaitez uniquement lire et visualiser le contenu du cours, vous pouvez auditer le cours gratuitement.
Si vous vous êtes abonné, vous bénéficiez d'une période d'essai gratuite de 7 jours pendant laquelle vous pouvez annuler votre abonnement sans pénalité. Après cette période, nous ne remboursons pas, mais vous pouvez résilier votre abonnement à tout moment. Consultez notre politique de remboursement complète.