Computer Hacking Forensic Investigator (CHFI)

Продолжительность курса — 5 дней

Описание Услуги

Расследование инцидентов компьютерной безопасности

01. Цель курса

Научить основным принципам проведения программно-технической экспертизы с целью сбора цифровых улик, выявления внутренних угроз, следов коммерческого шпионажа, и других обстоятельств влияющих на защищенность систем.

02. По окончании курса слушатели смогут

  • Понимать процесс проведения программно-технической экспертизы.
  • Производить поиск улик и методики их получения и сбора.
  • Различать типы цифровых улик, процесс оценки цифровых улик, классифицировать улики.
  • Понимать роль специалиста оперативного реагирования, обеспечивать сохранность и оценку места преступления. Проводить предварительные собеседования. Документировать место преступления. Собирать, упаковывать, сохранять и транспортировать электронные улики.
  • Оборудовать компьютерную лабораторию и необходимые инструменты
  • Работать с различными файловыми системами и процессом загрузки
  • Собирать устойчивую и неустойчивую информацию с Windows
  • Понимать правила получения и копирования данных, методы проверки и необходимые для этого инструменты.
  • Восстанавливать удаленную информацию с разделов Windows, Mac OS X и Linux.
  • Использовать в процессе расследования AccessData FTK и EnCase.
  • Понимать, что такое стеганография, стеганоанализ и его методы, экспертизу изображений.
  • Использовать основные принципы взлома паролей, инструменты, различать типы атак и способы анализа файлов защищенных паролем.
  • Различать типы файлов журналов, способы управления файлами журналов, проводить синхронизацию времени и использовать инструменты сбора файлов журналов.
  • Понимать, как исследовать файлы журналов, атаки на беспроводные сети и атаки на веб сервера.
  • Отслеживать электронные сообщения и расследовать преступления связанные с использованием электронной почты.
  • Проводить экспертизу мобильных устройств с применением соответствующих инструментов
  • Формировать отчеты и документировать результаты расследования.

03. Аудитория

Этот курс предназначен для IT-специалистов участвующих в обеспечение безопасности информационных систем, программно-технической экспертизе и реагировании на инциденты

Содержание курса

01. Модуль 1. Программно-техническая экспертиза сегодня

  • Криминалистика
  • Программно-техническая экспертиза
  • Подготовка к экспертизе
  • Компьютерные преступления
  • Расследование компьютерных преступлений
  • Внутрикорпоративные расследования

Сообщение о факте компьютерного преступления

04. Модуль 4. Цифровая улика

  • Цифровые данные
  • Типы цифровых данных
  • Правила работы с уликами
  • Электронные устройства: сбор потенциальных улик
  • Процесс оценки цифровых улик
  • Категоризации преступлений.

05. Модуль 5. Работа специалиста оперативного реагирования

  • Электронные улики
  • Специалист оперативного реагирования
  • Роли специалистов оперативного реагирования
  • Электронные устройства: сбор улик.
  • Инструменты специалиста оперативного реагирования
  • Основы оперативного реагирования
  • Защита и анализ места преступления
  • Проведение предварительных интервью
  • Формирование описания места преступления
  • Сбор и консервация улик
  • Упаковка и перевозка улик
  • Формирование отчета о месте преступления
  • Список вопросов для самопроверки
  • Основные ошибки специалиста оперативного реагирования

08. Модуль 8. Экспертиза Windows

  • Сбор непостоянной, изменчивой информации
  • Сбор зафиксированной информации
  • Анализ памяти в Windows
  • Анализ реестра Windows
  • Анализ данных веб браузера
  • Подсчет хешей MD5
  • Анализ файлов Windows
  • Анализ метаданных
  • Текстовые файлы журналов
  • События журналов аудита
  • Анализ журналов событий
  • Проблемы с паролями Windows
  • Инструменты для проведения экспертизы

09. Модуль 9. Сбор и формирование дубликатов данных

  • Основы сбора и формирования дубликатов данных
  • Типы сбора данных
  • Требования к инструментам для работы с дисками
  • Методы проверки собранных данных
  • Сбор данных с RAID массивов
  • Рекомендации по сбору данных
  • Программные инструменты для сбора данных
  • Аппаратные средства для сбора данных

10. Модуль 10. Восстановление удаленных файлов и удаленных разделов

  • Восстановление удаленных файлов
  • Инструменты восстановления файлов для Windows
  • Инструменты восстановления файлов для MAC
  • Инструменты восстановления файлов для Linux
  • Восстановление удаленных разделов
  • Инструменты восстановления разделов

11. Модуль 11. Проведение экспертизы с использованием AccessData FTK

  • Обзор и установка FTK
  • Интерфейс «Case Manager»
  • Интерфейс «Examiner»
  • Начало работы с FTK
  • Другие особенности интерфейса FTK
  • Работа с статическими, динамическими и удаленными уликами.
  • Использование у управление фильтрами.
  • Работа с поиском
  • Дешифровка EFS и других зашифрованных файлов
  • Работа с отчетами

14. Модуль 14. Взлом паролей

  • Основы взлома паролей
  • Типы атак на пароли
  • Классификация программ для взлома паролей
  • Системное ПО против Прикладного ПО
  • Взлом паролей системного ПО
  • Взлом паролей прикладного ПО
  • Инструменты взлома паролей

15. Модуль 15. Сбор журналов и корреляция событий

  • Компьютерные журналы безопасности
  • Сбор данных журналов и законодательство
  • Управление журналами
  • Централизованный сбор журналов и syslog
  • Синхронизация времени
  • Корреляция событий
  • Инструменты по сбору и анализу журналов событий

17. Модуль 17. Расследование атак на беспроводные сети

  • Беспроводные технологии
  • Атаки на беспроводные сети
  • Расследование атак на беспроводные сети
  • Особенности инструментов для анализа беспроводных сетей
  • Инструменты для экспертизы беспроводных сетей
  • Инструменты для сбора и анализа трафика

18. Модуль 18. Расследование атак на веб серверы

  • Знакомство с веб приложениями и веб серверами
  • Файлы журналов веб серверов
  • Атаки на веб сервера
  • Расследование атак на веб сервера
  • Инструменты обнаружения атаки на веб сервер
  • Инструменты для обнаружения IP адреса

19. Модуль 19. Отслеживание почтовых сообщений, расследования преступления связанных с электронной почтой

  • Основы систем электронной почты
  • Преступления связанные с электронной почтой
  • Заголовки почтовых сообщений
  • Шаги по проведению расследования
  • Инструменты для экспертизы электронной почты
  • Законы и акты против преступлений связанных с электронной почтой (США)

20. Модуль 20. Экспертиза мобильных устройств

  • Мобильный телефон
  • Мобильные операционные системы
  • Экспертиза мобильных устройств
  • Процедура экспертизы мобильных устройств
  • Инструменты для проведения экспертизы мобильных устройств