top of page

Details du contenu du BCFE
Basic Computer Forensic Examiner
Budapest (Hongrie) 2025
6-17 Octobre

​

Liste des sujets abordés dans le cours IACIS BCFE

(Sujets pouvant être soumis à des changements avant chaque nouvelle session)

 

  • BIOS, Boot Sequence and Boot Environments

  • Numbering Systems

  • Introduction to Hex Editor

  • Disk Structures

  • FAT File System

  • NTFS File System

  • Ex-FAT

  • Case Documentation

  • First Responder

  • Hashing & Hash Sets

  • Intro to Forensic Analysis & Scenario

  • Forensic Search Methodologies

  • RAM Capture & Analysis

  • Validation, Acquisition, Control & Practical Exercises

  • Forensic Acquisition Practical Exercise

  • SQL Databases

  • File Metadata

  • Compound Files

  • Windows Registry

  • Windows Artifacts

  • File Header & Carving

  • Internet Artifacts (Browsers)

  • ​Encryption

  • ​P2P/Cloud

  • Intro to Timeline Analysis

  • Digital Soup

  • Lab Management Overview

  • Mac Triage

  • Special Class overview, Ethics/Certification, eServices

​

Accès à la page web de la certification IACIS CFCE
https://www.iacis.com/certification/cfce/​

​

Basic Computer Forensic Examiner/Certified Forensic Computer Examiner

Fondement et Competences de base

​​​

Programmes IACIS Basic Computer Forensic Examiner (BCFE) et Certified Forensic Computer Examiner (CFCE)

 

Les compétences de base du BCFE/CFCE décrites dans ce document sont un ensemble de compétences obligatoires qui guident les programmes de formation et de certification afin de garantir que les points de compétences et de connaissances transmis dans le cadre du programme de formation sont également le même ensemble de normes évaluées dans le cadre du programme de certification.

Les compétences de base ont été définies dans le cadre d'un processus d'analyse du travail qui a permis d'identifier les tâches et les aptitudes nécessaires à la réussite d'un examinateur en informatique légale.

 

Compétences de base IACIS Basic Computer Forensic Examiner (BCFE)/Certified Forensic Computer Examiner (CFCE)

Le programme BCFE/CFCE porte sur sept domaines de compétences :

 

I. Procédures de pré-examen

II. Principes de base de l'informatique

III. Schémas de partitionnement

IV. Systèmes de fichiers

V. Récupération des données

VI. Artéfacts Windows

VII. Présentation des résultats

 

I. Procédures préalables à l'examen

  • Connaissance des règles de preuve et du code d'éthique et de conduite professionnelle d'IACIS applicables à la criminalistique informatique.

  • Connaissance des méthodes de recherche et de saisie informatique appropriées, y compris les procédures de photographie et de documentation.

  • Capacité à expliquer les mesures prises sur place pour la préservation des preuves physiques et numériques volatiles, y compris le traitement approprié des téléphones portables.

  • Capacité à établir, maintenir et documenter un environnement d'examen technico-légal sain.

 

II. Principes fondamentaux de l'informatique

  • Reconnaître et comprendre le potentiel de preuve de divers matériels informatiques et dispositifs à petite échelle.

  • Comprendre le BIOS, l'UEFI et la séquence de démarrage.

  • Comprendre les systèmes de numération binaire, décimale et hexadécimale, y compris les bits, les octets et les nibbles.

  • Connaître les secteurs, les clusters, les volumes et la marge de manœuvre des fichiers.

  • Comprendre la différence entre les lecteurs logiques et physiques.

  • Comprendre la différence entre les fichiers logiques et physiques.

  • Savoir ce qui se passe lors du formatage d'un support.

 

III. Schémas de partitionnement

  • Capacité à identifier les systèmes de partition actuels.

  • Connaître les structures individuelles et les zones du système utilisées par les différents systèmes de partition.

  • Comprendre que les systèmes de partition peuvent être utilisés avec différents systèmes de fichiers et systèmes d'exploitation.

  • Comprendre la différence entre une partition primaire et une partition étendue.

  • Définir l'identifiant unique global (GUID) et expliquer son application.

​

IV. Systèmes de fichiers

  • Comprendre les concepts de système de fichiers et de fichiers système.

  • Comprendre la structure des entrées de répertoire FAT.

  • Comprendre la structure des entrées de répertoire exFAT.

  • Capacité à distinguer, examiner, analyser et analyser le contenu de la table des fichiers principaux NTFS, y compris les informations standard, le nom de fichier et les attributs de données.

  • Connaître les fichiers supprimés/orphelins, y compris la manière dont ils sont identifiés dans leurs entrées de fichiers respectives.

  • Être capable d'identifier les systèmes de fichiers utilisés par Apple et Linux.

 

V. Récupération de données

  • Comprendre le hachage et les ensembles de hachage.

  • Capacité à générer et à valider un support stérile d'un point de vue médico-légal.

  • Capacité à générer et à valider une image médico-légale d'un support.

  • Capacité à capturer des données à partir d'une mémoire vive.

  • Comprendre les en-têtes de fichiers.

  • Comprendre la fragmentation des fichiers.

  • Capacité à extraire des métadonnées de fichiers à partir de types de fichiers courants.

  • Capacité à extraire des données de fichiers composés.

  • Connaître les fichiers/médias cryptés et les stratégies de récupération.

  • Connaître les artefacts d'Internet et des navigateurs.

  • Comprendre le stockage en nuage et la manière d'obtenir les données.

 

VI. Artéfacts Windows

  • Connaître l'emplacement des artefacts Windows courants.

  • Comprendre l'objectif et la structure des fichiers de composants qui créent le registre de Windows.

  • Être capable d'identifier et d'extraire des données spécifiques du registre.

  • Être capable d'analyser la corbeille.

  • Savoir analyser les cachettes de Windows.

  • Analyser les fichiers Shell Link et les listes Jump.

  • Être capable d'extraire et d'examiner les journaux d'événements.

  • Comprendre l'importance des services de copie fantôme de volume.

  • Être capable de localiser, de monter et d'examiner les fichiers des lecteurs virtuels.

  • Comprendre les fichiers Swap et Hibernation et les preuves qu'ils peuvent contenir.

 

VII. Présentation des résultats

  • Capacité à tirer des conclusions solides sur la base des résultats de l'examen.

  • Être capable de rendre compte des résultats en utilisant une terminologie standard/techniquement précise.

  • Être capable d'expliquer des concepts ou des processus techniques complexes en des termes facilement compréhensibles par des personnes non spécialisées.

​

​

​

​

«Winkler Digital Forensic Expertise» (WINDIFE)

2405 Route des Dolines, CS 10065, 06560 Valbonne Sophia-Antipolis (France)

Tél portable: +33 (0) 628604546

© 2021 par Patrick Winkler. Créé avec Wix.com

bottom of page