Computer Hacking Forensic Investigator

скачанные файлы

Продолжительность курса — 5 дней

Цель курса– научить основным принципам проведения программно-технической экспертизы с целью сбора цифровых улик, выявления внутренних угроз, следов коммерческого шпионажа, и других обстоятельств влияющих на защищенность систем.

Аудитория

Этот курс предназначен для IT-специалистов участвующих в обеспечение безопасности информационных систем, программно-технической экспертизе и реагировании на инциденты .

По окончании курса слушатели смогут:

  • Понимать процесс проведения программно-технической экспертизы.
  • Производить поиск улик и методики их получения и сбора.
  • Различать типы цифровых улик, процесс оценки цифровых улик, классифицировать улики.
  • Понимать роль специалиста оперативного реагирования, обеспечивать сохранность и оценку места преступления. Проводить предварительные собеседования. Документировать место преступления. Собирать, упаковывать, сохранять и транспортировать электронные улики.
  • Оборудовать компьютерную лабораторию и необходимые инструменты
  • Работать с различными файловыми системами и процессом загрузки
  • Собирать устойчивую и неустойчивую информацию с Windows
  • Понимать правила получения и копирования данных, методы проверки и необходимые для этого инструменты.
  • Восстанавливать удаленную информацию с разделов Windows, Mac OS X и Linux.
  • Использовать в процессе расследования AccessData FTK и EnCase.
  • Понимать, что такое стеганография, стеганоанализ и его методы, экспертизу изображений.
  • Использовать основные принципы взлома паролей, инструменты, различать типы атак и способы анализа файлов защищенных паролем.
  • Различать типы файлов журналов, способы управления файлами журналов, проводить синхронизацию времени и использовать инструменты сбора файлов журналов.
  • Понимать, как исследовать файлы журналов, атаки на беспроводные сети и атаки на веб сервера.
  • Отслеживать электронные сообщения и расследовать преступления связанные с использованием электронной почты.
  • Проводить экспертизу мобильных устройств с применением соответствующих инструментов
  • Формировать отчеты и документировать результаты расследования.

Материалы слушателя

Слушателям предоставляется учебное пособие и прочие материалы, необходимые для обучения.

 

Содержание курса

Модуль 1. Программно-техническая экспертиза сегодня

  • Криминалистика
  • Программно-техническая экспертиза
  • Подготовка к экспертизе
  • Компьютерные преступления
  • Расследование компьютерных преступлений
  • Внутрикорпоративные расследования

Сообщение о факте компьютерного преступления

Модуль 2. Процесс проведения программно-технической экспертизы

  • Проведение расследования компьютерного преступления
  • Шаги по подготовке проведения программно-технической экспертизы
  • Методология программно-технической экспертизы

Модуль 3. Поиск и выемка компьютеров

  • Поиск и выемка компьютеров без ордера
  • Поиск и выемка компьютеров с ордером
  • Electronic Communications Privacy Act
  • Electronic Surveillance in Communication Network
  • Улика

Модуль 4. Цифровая улика

  • Цифровые данные
  • Типы цифровых данных
  • Правила работы с уликами
  • Электронные устройства: сбор потенциальных улик
  • Процесс оценки цифровых улик
  • Категоризации преступлений.

Модуль 5. Работа специалиста оперативного реагирования

  • Электронные улики
  • Специалист оперативного реагирования
  • Роли специалистов оперативного реагирования
  • Электронные устройства: сбор улик.
  • Инструменты специалиста оперативного реагирования
  • Основы оперативного реагирования
  • Защита и анализ места преступления
  • Проведение предварительных интервью
  • Формирование описания места преступления
  • Сбор и консервация улик
  • Упаковка и перевозка улик
  • Формирование отчета о месте преступления
  • Список вопросов для самопроверки
  • Основные ошибки специалиста оперативного реагирования

Модуль 6. Лаборатория для проведения программно-технической экспертизы

  • Оборудование лаборатории
  • Службы расследования в компьютерной экспертизе
  • Аппаратное обеспечение программно-технической экспертизы
  • Программное обеспечение компьютерной экспертизы

Модуль 7. Работа с жесткими дисковыми носителями и файловыми системами.

  • Обзор жестких дисков
  • Дисковые разделы и процесс загрузки
  • Работа с файловыми системами
  • RAID массивы
  • Анализ файловых систем с использованием Sleuth Kit (TSK)

Модуль 8. Экспертиза Windows

  • Сбор непостоянной, изменчивой информации
  • Сбор зафиксированной информации
  • Анализ памяти в Windows
  • Анализ реестра Windows
  • Анализ данных веб браузера
  • Подсчет хешей MD5
  • Анализ файлов Windows
  • Анализ метаданных
  • Текстовые файлы журналов
  • События журналов аудита
  • Анализ журналов событий
  • Проблемы с паролями Windows
  • Инструменты для проведения экспертизы

Модуль 9. Сбор и формирование дубликатов данных

  • Основы сбора и формирования дубликатов данных
  • Типы сбора данных
  • Требования к инструментам для работы с дисками
  • Методы проверки собранных данных
  • Сбор данных с RAID массивов
  • Рекомендации по сбору данных
  • Программные инструменты для сбора данных
  • Аппаратные средства для сбора данных

Модуль 10. Восстановление удаленных файлов и удаленных разделов

  • Восстановление удаленных файлов
  • Инструменты восстановления файлов для Windows
  • Инструменты восстановления файлов для MAC
  • Инструменты восстановления файлов для Linux
  • Восстановление удаленных разделов
  • Инструменты восстановления разделов

Модуль 11. Проведение экспертизы с использованием AccessData FTK

  • Обзор и установка FTK
  • Интерфейс «Case Manager»
  • Интерфейс «Examiner»
  • Начало работы с FTK
  • Другие особенности интерфейса FTK
  • Работа с статическими, динамическими и удаленными уликами.
  • Использование у управление фильтрами.
  • Работа с поиском
  • Дешифровка EFS и других зашифрованных файлов
  • Работа с отчетами

Модуль 12. Проведение экспертизы с использованием EnCase

  • Обзор EnCase
  • Установка EnCase
  • Интерфейс EnCase
  • Управление кейсами
  • Работа с уликами
  • Обработчик источника
  • Анализ и поиск файлов
  • Просмотр содержимого файлов
  • Инвентаризация
  • Отчеты

Модуль 13. Стеганография и экспертиза графических файлов

  • Стеганография
  • Приемы стеганографии
  • Стегоанализ
  • Графический файлы
  • Сжатие данных
  • Поиск и восстановление графических файлов
  • Инструменты экспертизы графических файлов

Модуль 14. Взлом паролей

  • Основы взлома паролей
  • Типы атак на пароли
  • Классификация программ для взлома паролей
  • Системное ПО против Прикладного ПО
  • Взлом паролей системного ПО
  • Взлом паролей прикладного ПО
  • Инструменты взлома паролей

Модуль 15. Сбор журналов и корреляция событий

  • Компьютерные журналы безопасности
  • Сбор данных журналов и законодательство
  • Управление журналами
  • Централизованный сбор журналов и syslog
  • Синхронизация времени
  • Корреляция событий
  • Инструменты по сбору и анализу журналов событий

Модуль 16. Экспертиза сети, исследование журналов и трафика

  • Экспертиза сети
  • Сетевые атаки
  • Атаки на подмену данных журналов
  • Исследование журналов
  • Исследование сетевого трафика
  • Инструменты для сбора и анализа трафика

Модуль 17. Расследование атак на беспроводные сети

  • Беспроводные технологии
  • Атаки на беспроводные сети
  • Расследование атак на беспроводные сети
  • Особенности инструментов для анализа беспроводных сетей
  • Инструменты для экспертизы беспроводных сетей
  • Инструменты для сбора и анализа трафика

Модуль 18. Расследование атак на веб серверы

  • Знакомство с веб приложениями и веб серверами
  • Файлы журналов веб серверов
  • Атаки на веб сервера
  • Расследование атак на веб сервера
  • Инструменты обнаружения атаки на веб сервер
  • Инструменты для обнаружения IP адреса

Модуль 19. Отслеживание почтовых сообщений, расследования преступления связанных с электронной почтой

  • Основы систем электронной почты
  • Преступления связанные с электронной почтой
  • Заголовки почтовых сообщений
  • Шаги по проведению расследования
  • Инструменты для экспертизы электронной почты
  • Законы и акты против преступлений связанных с электронной почтой (США)

Модуль 20. Экспертиза мобильных устройств

  • Мобильный телефон
  • Мобильные операционные системы
  • Экспертиза мобильных устройств
  • Процедура экспертизы мобильных устройств
  • Инструменты для проведения экспертизы мобильных устройств

Модуль 21. Формирование отчетов о расследовании

  • Отчет о проведении программно-технической экспертизы
  • Шаблон отчета
  • Написание отчета о проведении программно-технической экспертизы
  • Пример отчета
  • Инструменты для формирования отчетов

Модуль 22. Как стать свидетелем-экспертом

  • Свидетель-эксперт
  • Область свидетельских показаний свидетеля эксперта
  • Обработка улик
  • Правила свидетеля-эксперта

Этика дачи показаний

Computer Hacking Forensic Investigator
ОБУЧЕНИЕ EC-COUNCIL,