praktyczny kurs informatyki śledczej

Dzień pierwszy:

1. Wprowadzenie.

• Informatyka śledcza i dowód elektroniczny – definicje, koncepcje, ryzyka,
• Incident response na podstawie norm serii 27000
• Procesy i procedury informatyki śledczej,
• Najlepsze praktyki informatyki śledczej.

2. Warsztat informatyka śledczego

• Blokery,
• Urządzenia kopiujące,
• Urządzenia mobilne.

3. Zabezpieczenie materiału dowodowego z komputerów i serwerów.

• Podstawowe zasady i przygotowanie do zabezpieczania nośników / danych
• Zabezpieczanie z użyciem blokerów
• Zabezpieczanie z użyciem urządzeń mobilnych
• Metodyka zabezpieczania danych.

Dzień drugi:

1. Wprowadzenie do programu FTK Imager.

• Przygotowanie do pracy z programem FTK Imager.
• Przegląd programu.
• Tworzenie kopii binarnej.
• Tworzenie wycinak danych.
• Zabezpieczanie pamięci.

2. Wprowadzenie do programu Encase Acquisition.

• Przygotowanie i konfiguracja programu.v
• Przegląd programu.
• Tworzenie kopii binarnej.
• Tworzenie wycinka danych.
• Odtwarzanie kopii binarnych.
• Zabezpieczanie pamięci oprogramowaniem Winen.

3. Zabezpieczanie „live” systemów Linux. Wykorzystywanie dystrybucji programów informatyki śledczej systemów Linux.

• Wprowadzenie.
• Omówienie komendy „dd”.
• Przykład dystrybucji systemu Linux – Sumuri Paladin.

4. Wprowadzenie do programu Axiom. Test końcowy.

• Przygotowanie i konfiguracja programu.
• Tworzenie kopii binarnej.
• Tworzenie wycinka danych.
• Przegląd plików graficznych oraz dokumentów.
• Zabezpieczenie pamięci – Axiom RAM Capture.
• Test końcowy.

1. Przypomnienie i rozszerzenie materiału z poziomu Specialist.

• Zakładanie i prowadzenie spraw.
• Weryfikacja kopii binarnych.
• Filtrowanie danych.
• Weryfikacja sum kontrolnych i sygnatur plików.
• Analiza plików graficznych.
• Analiza plików złożonych i dokumentów MS Office.
• Używanie własnych zapytań i programy wspomagające.

2. Analiza danych internetowych / Analiza danych e-mail / Odzyskiwanie danych.

• Wprowadzenie do analizy artefaktów internetowych: analiza historii i analiza cache.
• Wprowadzenie do analizy danych poczty e-mail.
• Odzyskiwanie danych ze skrzynek pocztowych.

3. Indeksowanie / Analiza Hashy / Słowa kluczowe / Raporty.

• Tworzenie grupy haszy.
• Indeksowanie danych.
• Importowanie, eksportowanie grup/list haszy.
• Operacje wyszukiwania:
  • Tworzenie słów kluczowych.
  • Wyszukiwanie za pomocą słów kluczowych.
  • Przegląd wyników.
  • Tworzenie bookmarków.

4. Podstawowe analizy śledcze i raportowanie.

• System operacyjny Windows.
  • Analiza zainstalowanego oprogramowania.
  • Informacje o zainstalowanym systemie operacyjnym.
  • Wyodrębnienie podstawowych artefaktów systemu (rejestry, eventlog).
  • Nośniki wymienne.
• Analiza zawartości nośników – pliki graficzne, dokumenty itd.
• Tworzenie raportu

5. Samodzielne ćwiczenia – analiza śledcza przygotowanych materiałów dowodowych.

• Praca na przygotowanym materiale dowodowym pod opieką instruktura. Uczestnik prowadzi analizę śledczą na podstawie zdobytej wcześniej wiedzy.
• Raportowanie wyników

1. Przypomnienie i rozszerzenie zagadnień ze szkolenia na poziomie Specialist i Professional

• Zakładanie i prowadzenie spraw,
• Weryfikacja kopii binarnych,
• Filtrowanie danych,
• Weryfikacja sum kontrolnych i sygnatur plików,
• Analiza plików graficznych,
• Analiza plików złożonych i dokumentów MS Office,

2. Analiza artefaktów systemu operacyjnego Windows na poziomie zaawansowanym.

• Wyszukiwanie i dekodowanie artefaktów typu:
  • Pliki skrótów LNK.
  • Folder RECENT.
  • Pliki Prefetch „*.pf”.
  • Pliki rejestru Windows
  • Plik NTFS $UsnJrln
  • Itp.

3. Złożone problemy analityczne

• Rekonstrukcja macierzy,
• Wyszukiwanie partycji,
• Deszyfracja dysków,
• Emulacja dysków w systemie analitycznym

4. Zaawansowane analizy śledcze.

• Niskopoziomowa analiza systemów operacyjnych pod kątem wyodrębniania artefaktów związanych z nadużyciami pracowniczymi i malware.
• Eksport i prezentacja raportów
• Skrypty, funkcje i rozszerzenia,
• Przeglądanie i obróbka wyników.

5. Samodzielne ćwiczenia – analiza śledcza przygotowanych materiałów dowodowych.

• Praca na przygotowanym materiale dowodowym pod opieką instruktora. Uczestnik prowadzi analizę śledcza na podstawie zdobytej wcześniej wiedzy.
• Raportowanie wyników.