SANS GCFE
GIAC Certified Forensic Examiner
Le GCFE valide l'expertise en investigation forensique sur les systèmes Windows : analyse de disque, artefacts Windows, analyse de registre, timeline reconstruction et production de rapports d'investigation.
Public cible
Analystes forensiques, incident responders souhaitant approfondir le forensic, enquêteurs numériques.
Prérequis
Bases en forensic numérique et connaissance des systèmes Windows.
Format d'examen
115 questions · 4 heures · Open book · Score de passage : 71 %
Temps de préparation
Formation SANS FOR500 (6 jours) + 1-2 mois de révision
Domaines couverts
- →Méthodologie forensique et chaîne de custody
- →Artefacts Windows (registre, prefetch, amcache)
- →Analyse du système de fichiers NTFS
- →Reconstruction de timeline
- →Analyse de navigateurs web
- →Rédaction de rapports forensiques
Comment structurer un cours de préparation
Le forensic s'enseigne par l'investigation. Préparez des images disque avec des scénarios d'intrusion réalistes et guidez les étudiants à travers l'analyse avec Autopsy, FTK Imager et Volatility. Chaque lab doit produire un rapport structuré.
Erreurs courantes à éviter
Ne pas maîtriser les artefacts Windows (c'est le cœur de l'examen). Oublier la documentation de chaque étape (chaîne de custody). Se perdre dans les détails sans construire une timeline cohérente.
65 %
taux de réussite estimé
4 ans
validité
Questions fréquentes
Quel est le taux de réussite du SANS GCFE ?
Environ 65-75 %
Combien de temps faut-il pour préparer le SANS GCFE ?
Formation SANS FOR500 (6 jours) + 1-2 mois de révision
Quels sont les prérequis du SANS GCFE ?
Bases en forensic numérique et connaissance des systèmes Windows.
Comment se déroule l'examen SANS GCFE ?
115 questions · 4 heures · Open book · Score de passage : 71 %