Efterforskning af hackerhændelser. Grundlæggende om retsmedicin - kursus 179.990 gnid. fra Specialist, uddannelse, Dato 20. januar 2024.
Miscellanea / / December 02, 2023
Kursusprogrammet lægger grundlaget for retsmedicin - den anvendte videnskab om at løse cyberkriminalitet, forske og analysere digitale beviser. Kurset om efterforskning af hackerhændelser vil give klare retningslinjer og anvisninger i dets udvikling. I denne klasse lærer du, hvordan du med succes identificerer, efterforsker og eliminerer konsekvenserne af computerforbrydelser. Du vil lære proceduren til at identificere, om en hacker er trængt ind i et system, og modtage anbefalinger til overvågning af en potentiel ubuden gæsts handlinger.
Kurset er tilrettelagt på en sådan måde, at ny teoretisk viden nødvendigvis understøttes af praksis, der er så tæt som muligt på reelle cases. Du vil forstærke teorien ved at udføre laboratoriearbejde (der er 39 af dem i alt), som omfatter praksis efterforskning af cyberkriminalitet ved hjælp af e-mail, mobil og cloud platforme tjenester.
Dette kursus er ideelt for dig, hvis du:
Kurset dækker også disaster recovery af systemer. .
Du vil lære:
søge, indhente og analysere digitalt bevismateriale;
efterforske hændelser som følge af hackingteknikker;
anvende metoder og teknikker til cyberkriminaltekniske undersøgelser;
fortolke de indsamlede data i forbindelse med en undersøgelse af computerhændelser.
Modul 1. Computer efterforskning i den moderne verden (2 ac. h.)
Hvad er computer efterforskning
Anvendelse af computer efterforskning
Typer af computerkriminalitet
Casestudie. Eksempler på efterforskning af computerkriminalitet
Vanskeligheder ved retsmedicinsk undersøgelse
Efterforskning af cyberkriminalitet
Civil efterforskning
Kriminalundersøgelse
Administrativ undersøgelse
Casestudie. Eksempler på undersøgelsestyper
Regler for retsmedicinsk undersøgelse
Efterforskning af forbrydelser begået af organiserede kriminelle grupper (Enterprise Theory of Investigation)
Digitale beviser
Hvad er digitale beviser
Typer af digitalt bevis
Karakteristika for digital evidens
Digitale bevisers rolle
Kilder til potentielle beviser
Regler for bevisindsamling
Bedste beviskrav
Beviskodeks
Afledte beviser
Scientific Working Group on Digital Evidence (SWGDE)
Beredskab til retsmedicinsk efterforskning
Computer Forensics som del af en hændelsesplan
Behovet for computer efterforskning
Roller og ansvar for en retsmedicinsk efterforsker
Problemer med retsmedicinsk efterforskning
Juridiske problemer
Privatlivsproblemer
Etiske regler
Computer Forensics Ressourcer
Lær det grundlæggende i efterforskning af computerkriminalitet
Forberedelse af laboratoriet til praktiske forsøg
Modul 2. Processen med at undersøge computerhændelser (2 ac. h.)
Vigtigheden af undersøgelsesprocessen
Faser af undersøgelsesprocessen
Indledende undersøgelsesfase Forberedelse af det retsmedicinske laboratorium Opbygning af et efterforskningshold Gennemgang af politikker og love Etablering af kvalitetssikringsprocesser Forståelse af datadestruktionsstandarder Vurdering risiko
Retsmedicinsk laboratorieforberedelse
Opbygning af efterforskningshold
Gennemgang af politikker og love
Oprettelse af kvalitetsprocesser
Introduktion til datadestruktionsstandarder
Risikovurdering
Efterforskningsstadie Efterforskningsproces Undersøgelsesmetodologi: hurtig reaktion Efterforskningsmetode: ransagning og beslaglæggelse Udførelse Foreløbige interviews Eftersøgning og beslaglæggelsesplanlægning Eftersøgning og beslaglæggelsesordrer Sundheds- og sikkerhedsspørgsmål Sikkerheds- og kriminalitetsvurdering: tjekliste
Udredningsproces
Undersøgelsesmetodologi: hurtig reaktion
Efterforskningsmetodologi: ransagning og beslaglæggelse
Afholdelse af indledende samtaler
Planlægning af inspektion og beslaglæggelse
Eftersøgnings- og beslaglæggelseskendelse
Sundheds- og sikkerhedsspørgsmål
Forsvar og evaluering af gerningssted: Tjekliste
Undersøgelsesmetodologi: bevisindsamling Indsamling af fysisk bevismateriale Bevisindsamlingsskema Indsamling og bevaring af elektronisk bevismateriale Arbejde med computere tændt Arbejde med computere slukket Arbejde med en netværkscomputer Arbejde med åbne filer og startfiler Procedure slukke for operativsystemet Arbejde med arbejdsstationer og servere Arbejde med bærbare computere Arbejde med bærbare computere tændt computere
Indsamling af beviser
Formular til indsamling af beviser
Indsamling og opbevaring af elektronisk bevismateriale
Arbejde med computere tændt
Arbejder med slukkede computere
Arbejde med en netværkscomputer
Arbejde med åbne filer og startfiler
Procedure for nedlukning af operativsystemet
Arbejde med arbejdsstationer og servere
Arbejde med bærbare computere
Arbejde med bærbare computere tændt
Efterforskningsmetodik: beskyttelse af beviser Håndtering af beviser Procedure for overførsel og opbevaring af beviser Emballage og transport af elektronisk bevis Nummerering af fysisk bevis Opbevaring af elektronisk bevismateriale beviser
Evidenshåndtering
Procedure for overførsel og opbevaring af bevismateriale
Pakning og transport af elektronisk bevismateriale
Nummerering af fysiske beviser
Opbevaring af elektronisk bevismateriale
Undersøgelsesmetode: Dataindsamling Dataindsamlingsvejledning Dataduplikering Billedintegritetstjek Datagendannelse
Vejledning til dataindsamling
Duplikering af data
Kontrol af billedets integritet
Datagendannelse
Undersøgelsesmetodologi: Dataanalyse Dataanalyseproces Dataanalysesoftware
Dataanalyseproces
Software til dataanalyse
Efterundersøgelsesstadiet
Efterforskningsmetodologi: evaluering af beviser Evaluering af de fundne beviser Indarbejde beviser i sagen Behandling af evalueringen steder Indsamling af data fra sociale netværk Anbefalinger til undersøgelse af sociale netværk Anbefalinger vedr vurdering af beviser
Evaluering af de fundne beviser
Tilføjelse af beviser til sagen
Behandler placeringsvurdering
Indsamling af data fra sociale netværk
Retningslinjer for forskning i sociale medier
Retningslinjer for evaluering af beviser
Undersøgelsesmetodologi: dokumentation og rapportering Dokumentation for hver fase af undersøgelsen Indsamling og organisering af information Skrivning af en undersøgelsesrapport
Dokumentation for hver fase af undersøgelsen
Indsamling og organisering af information
At skrive en forskningsrapport
Efterforskningsmetodologi: sagkyndig vidneudsagn Fungerer som sagkyndig vidne Afslutning af sagen
Tjener som ekspertvidne
Afslutning af sagen
Professionel adfærd
Undersøgelse og praktisk anvendelse af softwareværktøjer, der er nødvendige i processen med retsmedicinsk efterforskning
Modul 3. Harddiske og filsystemer (4 ac. h.)
Oversigt over harddiske Harddiske (HDD) Solid State-drev (SSD) Fysisk struktur af en harddisk Logisk struktur af en harddisk Typer af harddiskgrænseflader Harddiskgrænseflader diske Spor Sektorer Klynger Dårlige sektorer Bits, bytes og nibbles Adressering af data på en harddisk Datatæthed på en harddisk Beregning af diskkapacitet Måling af harddiskens ydeevne disk
Harddiske (HDD)
Solid State Drives (SSD)
Fysisk struktur af en harddisk
Logisk struktur af en harddisk
Typer af harddiskgrænseflader
Harddisk grænseflader
Spor
Sektorer
Klynger
Dårlige sektorer
Bit, byte og nibble
Adressering af data på en harddisk
Harddisk datatæthed
Diskkapacitetsberegning
Måling af harddiskens ydeevne
Diskpartitioner og opstartsprocessen Diskpartitioner BIOS-parameter Block Master Boot Record (MBR) Globally Unique Identifier (GUID) Hvad er opstartsprocessen? Windows Core System Files Windows Boot Process GUID Partitionstabel Identifikation GPT Header og Entry Analyse GPT Artefakter Macintosh Boot Process Linux Boot Process
Diskpartitioner
BIOS-parameterblok
Master Boot Record (MBR)
Globalt unikt identifikator (GUID)
Hvad er download-processen?
Windows grundlæggende systemfiler
Windows boot proces
Identifikation af GUID-partitionstabel
Analyse af GPT header og poster
GPT artefakter
Macintosh boot proces
Linux boot proces
Filsystemer Forståelse af filsystemer Filtyper af filsystemer Windows filsystemer Linux filsystemer Mac OS X filsystemer filsystem Oracle Solaris 11: ZFS CD-ROM/DVD-filsystem Compact Disc-filsystem (CDFS) Virtuelt filsystem (VFS) Alsidigt diskfilsystem (UDF)
Generel information om filsystemer
Filsystemtyper
Windows filsystemer
Linux filsystemer
Mac OS X filsystemer
Oracle Solaris 11 filsystem: ZFS
CD-ROM/DVD filsystem
Compact Disc File System (CDFS)
Virtuelt filsystem (VFS)
Universal Disk File System (UDF)
Storage System RAID RAID Levels Host Protected Areas (HPA'er)
RAID niveauer
Vært beskyttede områder (HPA'er)
Filsystemanalyse Isolering af homogene datasæt Billedfilanalyse (JPEG, BMP, hexadecimale billedfilformater) PDF-filanalyse Word-filanalyse Word-analyse PPT-filer Excel-filanalyse Hexadecimal visning af populære filformater (video, lyd) Filsystemanalyse ved hjælp af Autopsy Filsystemanalyse ved hjælp af The Sleuth Kit (TSK)
Isolering af homogene dataarrays
Billedfilanalyse (JPEG, BMP, hexadecimale billedfilformater)
Analyse af pdf-filer
Word fil analyse
PPT fil analyse
Excel fil analyse
Hexadecimal repræsentation af populære filformater (video, lyd)
Filsystemanalyse ved hjælp af autopsi
Filsystemanalyse ved hjælp af Sleuth Kit (TSK)
Gendannelse af slettede filer
Analyse af filsystem
Modul 4. Indsamling og kopiering af data (2 ac. h.)
Dataindsamling og replikeringskoncepter Oversigt over dataindsamling Typer af dataindsamlingssystemer
Generel information om dataindsamling Typer af dataindsamlingssystemer
Typer af dataopsamlingssystemer
Indhentning af realtidsdata Volatilitetsordre Typiske fejl ved indsamling af flygtige data Metode til indsamling af flygtige data
Volatilitetsordre
Almindelige fejl ved indsamling af flygtige data
Variabel dataindsamlingsmetode
Indhentning af statiske data Statiske data Tommelfingerregler Duplikatbilleder Bitkopiering og sikkerhedskopiering af datakopieringsproblemer Indsamling og dupliker trin Data forberedelse af bevisindsendelsesformularen muliggør skrivebeskyttelse på bevismedier Klargøring af målmediet: NIST SP 800-88 vejledning Bestemmelse af metoderne til dataindsamlingsformat dataindsamling Bestemmelse af den bedste dataindsamlingsmetode Valg af dataindsamlingsværktøj Indsamling af data fra RAID-drev Fjernindsamling af data Fejl i dataindsamling Planlægning nødsituationer
Statiske data
Tommelfingerregler
Dublerede billeder
Bit kopi og backup
Problemer med at kopiere data
Trin til indsamling og duplikering af data Udarbejdelse af bevisoverførselsformular Aktivering af skrivebeskyttelse på bevismedier Forberedelse af målet Medie: NIST SP 800-88 Vejledning Bestemmelse af dataindsamlingsformat Dataindsamlingsmetoder Bestemmelse af den bedste dataindsamlingsmetode Valg dataindsamlingsværktøj Dataindsamling fra RAID-diske Fjernindsamling af data Fejl i dataindsamling Nødplanlægning situationer
Udarbejdelse af bevisformularen
Aktiverer skrivebeskyttelse på bevismedier
Forberedelse af målmedier: NIST SP 800-88 Vejledning
Definition af dataindsamlingsformatet
Dataindsamlingsmetoder
Bestemmelse af den bedste dataindsamlingsmetode
Valg af et dataindsamlingsværktøj
Indsamling af data fra RAID-diske
Fjern datahentning
Fejl i dataindsamling
Beredskabsplanlægning
Retningslinjer for dataindsamling
Brug af software til at udtrække data fra harddiske
Modul 5. Teknikker, der komplicerer retsmedicinsk undersøgelse (2 ac. h.)
Hvad er antiforensics? Mål for retsmedicin
Mål for retsmedicin
Anti-kriminaltekniske teknikker Sletning af data/filer Hvad sker der, når du sletter en fil i Windows? Windows Papirkurv Hvor papirkurven er gemt i FAT- og NTFS-systemer Sådan fungerer papirkurven Korruption af INFO2-filen Korruption af filer i papirkurven Skade på papirkurvens bibliotek Gendannelse filer Filgendannelsesværktøjer i Windows Filgendannelsesværktøjer i MAC OS X Filgendannelse i Linux Gendannelse af slettede partitioner Adgangskodebeskyttelse Adgangskodetyper Sådan fungerer en adgangskodeknækker Teknikker til krakning af adgangskode Standardadgangskoder Brug af Rainbow Tables til at knække Hash Microsoft-godkendelse Knækning af systemadgangskoder Omgåelse af BIOS-adgangskoder Værktøjer til nulstilling af administratoradgangskoder Værktøjer til at knække applikationsadgangskoder Værktøjer til at knække systemadgangskoder Steganografi og steganalyse Skjul data i strukturer filsystem Tilsløring af spor Sletning af artefakter Omskrivning af data og metadata Kryptering Kryptering af filsystem (EFS) Datagendannelsesværktøjer EFS Encrypted netværksprotokoller Packers Rootkits Detektering af rootkits Trin til detektering af rootkits Minimering af spor Udnyttelse af fejl i retsmedicinske værktøjer Registrering retsmedicinske værktøjer
Sletning af data/filer Hvad sker der, når du sletter en fil i Windows?
Hvad sker der, når du sletter en fil i Windows?
Windows Papirkurv Hvor papirkurven er gemt i FAT- og NTFS-systemer Sådan fungerer papirkurven Korruption af INFO2-filen Korruption af filer i papirkurven Korruption af papirkurvens bibliotek
Opbevaringssted for papirkurven i FAT- og NTFS-systemer
Sådan fungerer indkøbskurven
INFO2 fil korruption
Skader på filer i papirkurven
Korruption af papirkurvens bibliotek
Filgendannelse Filgendannelsesværktøjer i Windows Filgendannelsesværktøjer i MAC OS X Filgendannelse i Linux Gendannelse af slettede partitioner
Filgendannelsesværktøjer i Windows
Filgendannelsesværktøjer i MAC OS X
Filgendannelse i Linux
Gendannelse af slettede partitioner
Adgangskodebeskyttelse Typer af adgangskoder Sådan fungerer en adgangskodeknækker Teknikker til at knække adgangskode Standardadgangskoder Brug af regnbuetabeller til at knække hashes Microsoft-godkendelse Hacking af systemadgangskoder Omgåelse af BIOS-adgangskoder Værktøjer til nulstilling af administratoradgangskoder Værktøjer til at knække applikationsadgangskoder Værktøjer til at knække systemadgangskoder adgangskoder
Adgangskodetyper
Arbejdet med en kodeordsknækker
Teknikker til at knække adgangskode
Standardadgangskoder
Brug af regnbueborde til at knække hash
Microsoft-godkendelse
Hacking af systemadgangskoder
Omgå BIOS-adgangskoder
Værktøjer til at nulstille admin adgangskode
Værktøjer til at knække applikationsadgangskoder
Værktøjer til at knække systemadgangskoder
Steganografi og steganalyse
Skjul data i filsystemstrukturer
Tilsløring af spor
Sletning af artefakter
Omskrivning af data og metadata
Encryption Encrypting File System (EFS) EFS Data Recovery Tools
Kryptering af filsystem (EFS)
EFS datagendannelsesværktøjer
Krypterede netværksprotokoller
Pakkere
Rootkits Registrering Rootkits Trin til at opdage Rootkits
Rootkit-detektering
Trin til at opdage rootkits
Minimering af fodspor
Udnyttelse af fejl i retsmedicinske værktøjer
Påvisning af retsmedicinske værktøjer
Modforanstaltninger mod anti-kriminalteknik
Værktøjer, der komplicerer retsmedicinske undersøgelser
Brug af software til at knække applikationsadgangskoder
Steganografi detektion
Modul 6. Retsmedicinsk undersøgelse af operativsystemer (4 ac. h.)
Introduktion til OS Forensics
Retsmedicinsk analyse WINDOWS
Windows Forensics Methodology Indsamling af flygtigt informationssystem Tidsregistrerede brugere Åbne filer Netværksinformationsnetværk forbindelser Procesoplysninger Proces- og portkortlægninger Proceshukommelse Netværksstatus Udskriv spoolfiler Andre vigtige oplysninger Indsamling af ikke-flygtig information Filsystemer Indstillinger i registreringsdatabasen Sikkerhedsidentifikatorer (SID'er) Hændelseslogfiler ESE-databasefil Tilsluttede enheder Slack Space Virtuel hukommelse Dvalefiler Fil sidesøgning Søgeindeks Find skjulte partitioner Skjulte alternative streams Andre ikke-flygtige oplysninger Windows-hukommelsesanalyse Virtuelle harddiske (VHD) Hukommelsesdump Struktur af EProcess Procesoprettelsesmekanisme Analyse af hukommelsesindhold Analyse af proceshukommelse Udpakning af et procesbillede Indsamling af indhold fra proceshukommelse Analyse af Windows-registreringsdatabasen Registry Device Registry Struktur Registry som en logfil Registry Analyse Systemoplysninger Tidszoneoplysninger Offentlige mapper Trådløse SSID'er-tjeneste volume shadow copy System boot Bruger login Bruger aktivitet Start-registreringsnøgler USB-enheder Monterede enheder Aktivitetssporing brugere UserAssist-nøgler MRU-lister Tilslutning til andre systemer Analyse af gendannelsespunkter Bestemmelse af opstartsplaceringer Cache-, cookie- og historieanalyse Mozilla Firefox Google Chrome Microsoft Edge og Internet Explorer Windows Filanalyse Systemgendannelsespunkter Forhåndshent filer Genveje Billedfiler Metadataforskning Hvad er metadatatyper metadata Metadata i forskellige filsystemer Metadata i PDF-filer Metadata i Word-dokumenter Metadataanalyseværktøjer Logfiler Hvad er hændelser Typer af loginhændelser system Hændelseslogfilformat Organisering af hændelsesposter Struktur ELF_LOGFILE_HEADER Logpoststruktur Windows 10 hændelseslogfiler Retsmedicinsk loganalyse Begivenheder Windows Forensics Tools
Indsamling af flygtige oplysninger Systemtid Registrerede brugere Åbne filer Netværksoplysninger Netværk forbindelser Procesinformation Proces- og portkortlægninger Proceshukommelse Netværksstatus Udskriv spoolerfiler Andet vigtigt Information
System tid
Registrerede brugere
Åbn filer
Netværksoplysninger
Netværksforbindelser
Procesinformation
Proces- og havnekortlægning
Proceshukommelse
Netværksstatus
Udskriv køfiler
Andre vigtige oplysninger
Ikke-flygtig informationsindsamling Filsystemer Registerindstillinger Sikkerhedsidentifikatorer (SID'er) Hændelseslogfiler ESE-databasefil Tilsluttede enheder Slack Space Virtuel hukommelse Dvalefiler Side Filsøgning Indeks Find skjulte partitioner Skjulte alternative streams Andre ikke-flygtige Information
Filsystemer
Indstillinger for registreringsdatabasen
Sikkerhedsidentifikatorer (SID'er)
Hændelseslogfiler
ESE-databasefil
Tilsluttede enheder
Slap plads
Virtuel hukommelse
Dvale filer
Skift fil
Søg indeks
Find skjulte sektioner
Skjulte alternative strømme
Andre ikke-flygtige oplysninger
Windows Hukommelsesanalyse Virtuelle harddiske (VHD) Hukommelsesdump EProcess Structure Creation Mechanism proces Analyse af hukommelsesindhold Analyse af proceshukommelse Udpakning af et procesbillede Indsamling af indhold fra hukommelsen behandle
Virtuelle harddiske (VHD)
Hukommelsesdump
EProcess struktur
Proces skabelse mekanisme
Analyse af hukommelsesindhold
Proceshukommelsesanalyse
Hentning af et procesbillede
Indsamling af indhold fra proceshukommelse
Windows Registry Analyse Registry Device Registry Struktur Registry som en logfil Registry Analyse Systemoplysninger Tidszoneoplysninger Offentlige mapper Trådløse SSID'er Volume Shadow Copy Service System Boot Bruger Login Brugeraktivitet USB Startup Registry Keys enheder Monterede enheder Brugeraktivitetssporing UserAssist-nøgler MRU-lister Tilslutning til andre systemer Analyse af gendannelsespunkter Bestemmelse af lanceringssteder
Registreringsenhed
Registry struktur
Registry som en logfil
Registeranalyse
Systemoplysninger
Tidszoneoplysninger
Delte mapper
Trådløse SSID'er
Volume Shadow Copy Service
Systemstart
Bruger login
Brugeraktivitet
Start registreringsdatabasenøgler
USB-enheder
Monterbare enheder
Sporing af brugeraktivitet
UserAssist nøgler
MRU lister
Tilslutning til andre systemer
Recovery point analyse
Bestemmelse af lanceringssteder
Cache-, cookie- og historieanalyse Mozilla Firefox Google Chrome Microsoft Edge og Internet Explorer
Mozilla Firefox
Google Chrome
Microsoft Edge og Internet Explorer
Windows-filanalyse Systemgendannelsespunkter Forhåndshent filer Genveje Billedfiler
Systemgendannelsespunkter
Forhåndshent filer
Genveje
Billedfiler
Metadataforskning Hvad er Metadata Typer af metadata Metadata i forskellige filsystemer Metadata i PDF-filer Metadata i Word-dokumenter Metadataanalyseværktøjer
Hvad er metadata
Metadatatyper
Metadata i forskellige filsystemer
Metadata i PDF-filer
Metadata i Word-dokumenter
Værktøjer til metadataanalyse
Logs Hvad er hændelser Typer af login hændelser Hændelseslogfilformat Organisering af hændelsesposter ELF_LOGFILE_HEADER Strukturlogpoststruktur Windows 10 Hændelseslogs Retsmedicinsk loganalyse begivenheder
Hvad er begivenheder
Typer af login-begivenheder
Hændelseslogfilformat
Organisering af begivenhedsregistre
Struktur ELF_LOGFILE_HEADER
Logindtastningsstruktur
Windows 10 hændelseslogfiler
Retsmedicinsk analyse af hændelseslogfiler
Windows retsmedicinske værktøjer
LINUX Forensics Shell-kommandoer Linux-logfiler Flygtig dataindsamling Ikke-flygtig dataindsamling Swap-område
Shell kommandoer
Linux-logfiler
Flygtig dataindsamling
Ikke-flygtig dataindsamling
Byt område
MAC Forensics Introduktion til MAC Forensics MAC Forensics Datalogfiler Mapper MAC Forensics Tools
Introduktion til MAC Forensics
MAC retsmedicinske data
Logfiler
Kataloger
MAC retsmedicinske værktøjer
Opdag og udtræk materialer til analyse ved hjælp af OSForensics
Hentning af information om kørende processer ved hjælp af Process Explorer
Analyse af hændelser ved hjælp af Event Log Explorer
Udførelse af retsmedicinsk efterforskning ved hjælp af Helix
Indsamling af flygtige data i Linux
Analyse af ikke-flygtige data i Linux
Modul 7. Netværksundersøgelser, logfiler og dumps af netværkstrafik (4 ac. h.)
Introduktion til Network Forensics Hvad er Network Forensics Log og realtidsanalyse Netværkssårbarheder Netværksangreb Hvor skal man lede efter beviser
Hvad er netværksforensik
Log og realtidsanalyse
Netværkssårbarheder
Netværksangreb
Hvor skal man lede efter beviser
Grundlæggende logningsbegreber Logfiler som beviser Love og regler Lovligheden af at bruge logfiler Registreringer af regelmæssige aktiviteter som bevis
Logfiler som bevis
Love og regler
Lovligheden af at bruge magasiner
Registreringer af regelmæssige aktiviteter som bevis
Hændelseskorrelation Hvad er hændelseskorrelation Typer af hændelseskorrelation Forudsætninger for hændelseskorrelation Tilgange til begivenhedskorrelationer Sikring af logfiler er nøjagtige Registrer alt Spar tid Hvorfor synkronisere tid computere? Hvad er Network Time Protocol (NTP)? Brug af flere sensorer. Tab ikke logfiler
Hvad er begivenhedskorrelation
Typer af begivenhedskorrelation
Forudsætninger for begivenhedskorrelation
Tilgange til begivenhedskorrelation
Sikring af nøjagtigheden af logfiler
Optag alt
Sparer tid
Hvorfor synkronisere computertid?
Hvad er Network Time Protocol (NTP)?
Brug af flere sensorer
Tab ikke magasiner
Log Management Log Management Infrastruktur Funktioner Log Management Problemer Løsning Log Management Problemer Centraliseret logning Syslog-protokol Sikre systemintegritet Styr adgang til logfiler Digital signatur, kryptering og kontrolsummer
Log Management Infrastructure Features
Problemer med logstyring
Løsning af loghåndteringsproblemer
Centraliseret logning
Syslog protokol
Sikring af systemets integritet
Log adgangskontrol
Digital signatur, kryptering og kontrolsummer
Loganalyse Network Forensics Engine Logindsamling og analyseværktøjer Routerloganalyseindsamling oplysninger fra ARP-tabellen Analyse af firewall-logfiler Analyse af IDS-logfiler Analyse af Honeypot-logfiler Analyse af DHCP-logfiler Analyse af logfiler ODBC
Netværks retsmedicinsk analysemotor
Værktøjer til logindsamling og analyse
Analyse af routerlogfiler
Indsamling af information fra ARP-tabellen
Firewall-loganalyse
IDS log analyse
Honeypot log analyse
DHCP-loganalyse
ODBC-loganalyse
At studere netværkstrafik Hvorfor studere netværkstrafik? Indsamling af beviser gennem sniffning af Wireshark - sniffer N1 Network pakkeanalysatorer
Hvorfor studere netværkstrafik?
Indsamling af beviser gennem snusning
Wireshark – N1 sniffer
Netværkspakkeanalysatorer
IDS log analyse
Dokumentation af netværksbeviser
Rekonstruktion af beviser
Logopsamling og analyse ved hjælp af GFI EventsManager
Udforskning af syslog-data ved hjælp af XpoLog Center Suite
Undersøg netværksangreb ved hjælp af Kiwi Log Viewer
Undersøg netværkstrafik ved hjælp af Wireshark
Modul 8. Undersøgelse af hacking af webservere (2 ac. h.)
Introduktion til Web Application Forensics Web Application Architecture Udfordringer i Web Application Forensics
Webapplikationsarkitektur
Problemer med retsmedicinsk efterforskning af webapplikationer
Efterforskning af webangreb Symptomer på et webapplikationsangreb Oversigt over webapplikationstrusler Undersøgelse af webangreb
Symptomer på et webapplikationsangreb
Oversigt over webapplikationstrusler
Webangrebsforskning
Undersøgelse af IIS Apache-webserverlogfiler
IIS
Apache
Undersøgelse af cross-site scripting (XSS) angreb
Undersøgelse af SQL-injektionsangreb
Undersøgelse af CSRF-angreb (cross-site request forgery).
Undersøgelse af kodeinjektionsangreb
Undersøgelse af cookieforgiftningsangreb
Værktøjer til registrering af webangreb
Analyse af domæner og IP-adresser
Undersøgelse af et angreb på en webserver
Modul 9. Undersøgelse af hacking af databaseservere (2 ac. h.)
Retsmedicinsk undersøgelse af databasestyringssystemer (DBMS)
MSSQL forensics Datalagring i SQL-server Hvor kan man finde beviser i DBMS Flygtig dataindsamling Datafiler og aktive transaktionslogfiler Logindsamling aktive transaktioner Databaseplan-cache SQL-serverhændelser i Windows-logfiler SQL-serversporingsfiler SQL-serverfejllogfiler MS retsmedicinske værktøjer SQL
Lagring af data i SQL server
Hvor kan du finde beviser i DBMS?
Flygtig dataindsamling
Datafiler og aktive transaktionslogfiler
Indsamling af aktive transaktionslogfiler
Database plan cache
SQL-serverhændelser i Windows-logfiler
SQL Server sporingsfiler
SQL Server fejllogfiler
MS SQL retsmedicinske værktøjer
MySQL Forensics MySQL Arkitektur Data Katalog Struktur MySQL Forensics Se informationsskema MySQL Forensics Tools
MySQL arkitektur
Datamappestruktur
MySQL retsmedicin
Visning af et informationsskema
MySQL retsmedicinske værktøjer
Eksempler på MySQL retsmedicinske analyser
Udpakning af databaser fra en Android-enhed ved hjælp af Andriller
Analyse af SQLite-databaser ved hjælp af DB Browser til SQLite
Udfør retsmedicinsk analyse af en MySQL-database
Modul 10. Undersøgelse af cloud-teknologier (2 ac. h.)
Cloud Computing-koncepter Typer af Cloud Computing Adskillelse af ansvar i Cloud Cloud-implementeringsmodeller Trusler fra Cloud-teknologier Angreb på Cloud-løsninger
Typer af cloud computing
Adskillelse af ansvar i skyen
Cloud-implementeringsmodeller
Trusler fra cloud-teknologier
Angreb på cloud-løsninger
Sky efterforskning
Forbrydelser i skyen Case Study: Skyen som et emne Case Study: Skyen som et objekt Case Study: Skyen som et værktøj
Casestudie: Cloud som emne
Casestudie: Sky som et objekt
Casestudie: Cloud som værktøj
Cloud Forensics: Interessenter og deres roller
Cloud Forensics Issues Arkitektur og identifikation Dataindsamlingslogfiler Juridiske aspekter Analyse Kriminaltekniske problemkategorier
Arkitektur og identitet
Dataindsamling
Magasiner
Juridiske aspekter
Analyse
Kategorier af retsmedicinske problemer
Cloud storage forskning
Retsmedicinsk undersøgelse af Dropbox-tjenesten Artefakter fra Dropbox-webportalen Artefakter af Dropbox-klienten på Windows
Artefakter fra Dropbox-webportalen
Dropbox-klientartefakter på Windows
Retsmedicinsk undersøgelse af Google Drev-tjenesten Artefakter af Google Drev-webportalen Artefakter af Google Drev-klienten i Windows
Artefakter fra Google Drev-webportalen
Google Drev-klientartefakter på Windows
Cloud Forensics-værktøjer
DropBox retsmedicinsk analyse
Retsmedicinsk analyse af Google Drive
Modul 11. Undersøgelse af skadelig software (4 ac. h.)
Malware-begreber Typer af malware Forskellige måder, hvorpå malware infiltrerer et system Almindelige metoder, der bruges af angribere til at sprede malware onlinekomponenter malware
Typer af malware
Forskellige måder for malware at komme ind i et system
Almindelige metoder, der bruges af angribere til at distribuere malware online
Malware komponenter
Malware Forensics Hvorfor analysere Malware-identifikation og -ekstraktion malware Laboratorium for malware-analyse Forberedelse af en testbænk til malware-analyse programmer
Hvorfor analysere malware
Malware identifikation og udvinding
Malware Analyse Lab
Forberedelse af en testbænk til malware-analyse
Malware-analyseværktøjer
Generelle regler for malware-analyse
Organisatoriske problemer med malware-analyse
Typer af malware-analyse
Statisk analyse Statisk malwareanalyse: filfingeraftryk Online malwareanalysetjenester Lokale og netværk malware scanning Udfør strengsøgninger Identificer pakke/obfuskation metoder Find oplysninger om bærbare eksekverbare (PE) Bestemmelse af filafhængigheder Adskillelse af malware Analyseværktøjer malware
Statisk malware-analyse: filfingeraftryk
Online malwareanalysetjenester
Skanning af lokal og netværks malware
Udførelse af en strengsøgning
Definition af emballerings-/obfuskationsmetoder
Finde oplysninger om bærbare eksekverbare (PE)
Bestemmelse af filafhængigheder
Adskillelse af malware
Malware-analyseværktøjer
Dynamisk analyse Procesovervågning Fil- og mappeovervågning Registry-overvågning Netværksaktivitetsovervågning Overvågning porte Overvågning DNS Overvågning af API-opkald Overvågning af enhedsdrivere Overvågning af opstartsprogrammer Overvågningstjenester Windows
Procesovervågning
Overvågning af filer og mapper
Registry overvågning
Overvågning af netværksaktivitet
Havneovervågning
DNS overvågning
API-opkaldsovervågning
Overvågning af enhedsdrivere
Overvågning af opstartsprogrammer
Overvågning af Windows Services
Analyse af ondsindede dokumenter
Malware-analyseproblemer
Udførelse af en statisk analyse af en mistænkelig fil
Dynamisk malware-analyse
Analyse af en ondsindet PDF-fil
Scan PDF-filer ved hjælp af netværksressourcer
Scanning af mistænkelige kontordokumenter
Modul 12. Retsmedicinsk undersøgelse af e-mail (2 ac. h.)
E-mail-system E-mail-klienter E-mail-server SMTP-server POP3-server IMAP-server Vigtigheden af at administrere elektroniske dokumenter
Mail-klienter
E-mail server
SMTP-server
POP3 server
IMAP-server
Vigtigheden af elektronisk dokumenthåndtering
Forbrydelser relateret til e-mail Spam Mail hacking Mail storm Phishing Email spoofing mail Ulovlige beskeder Identitetsbedrageri Kædebreve Kriminel krønike
Spam
Mail hacking
Mail storm
Phishing
E-mail-spoofing
Ulovlige beskeder
Identitetssvig
Breve af lykke
Krimi-krønike
E-mail-meddelelse E-mail-meddelelsesoverskrifter Liste over almindelige e-mail-overskrifter
E-mail-overskrifter
Liste over typiske mailoverskrifter
Trin til efterforskning af e-mail-forbrydelser Indhentning af tilladelse til at søge, beslaglægge og efterforske efterforskning af e-mail-beskeder Kopier e-mail-meddelelser Se meddelelsesheadere i Microsoft Outlook i AOL i Apple Mail i Gmail i Yahoo Mail Analyser e-mail-meddelelsesheadere Kontrol af yderligere filer (.pst / .ost) Kontrol af e-mails gyldighed Undersøgelse af IP-adresser Sporing af e-mails oprindelse Kontrol af oplysninger header Webmail-sporing Indsamling af e-mail-arkiver E-mail-arkiver Indhold af e-mail-arkiver Lokalt arkiv Server-arkiv Gendannelse slettede e-mails Undersøgelse af e-mail-logfiler Linux-e-mail-server-logfiler >Microsoft Exchange-e-mail-server-logfiler Serverlogfiler Novell e-mail
Indhentning af tilladelse til inspektion, beslaglæggelse og undersøgelse
E-mail research
Kopiering af e-mails
Se meddelelsesoverskrifter i Microsoft Outlook i AOL i Apple Mail i Gmail i Yahoo Mail
i Microsoft Outlook
på AOL
i Apple Mail
i Gmail
i Yahoo Mail
Analyse af e-mail-headere Kontrol af yderligere filer (.pst / .ost) Kontrol af e-mails gyldighed Undersøgelse af IP-adresser
Kontrollerer yderligere filer (.pst / .ost)
E-mail-valideringstjek
IP-adresse forskning
E-mail-oprindelsessporing Kontrol af header-oplysninger Webmail-sporing
Kontrollerer headeroplysninger
Webmail-sporing
Indsamling af e-mail-arkiver E-mail-arkiver Indhold af e-mail-arkiver Lokalt arkiv Server-arkiv Gendannelse af slettede e-mails
E-mail-arkiver
Indhold af e-mail-arkiver
Lokalarkiv
Server arkiv
Gendannelse af slettede e-mails
Undersøgelse af e-mail-logfiler Linux-e-mail-serverlogfiler >Microsoft Exchange-e-mail-server-logfiler fra Novells e-mailserverlogs
Linux e-mail-serverlogfiler
>Microsoft Exchange e-mailserverlogfiler
Novell e-mailserverlogfiler
Retsmedicinske værktøjer
Lovgivning om e-mailkriminalitet
Gendan slettet e-mail med Gendan min e-mail
Cyber Crime Research med Paraben Email Examiner
Sporing af en e-mail ved hjælp af eMailTrackerPro
Modul 13. Undersøgelse af hacking af mobile enheder (2 ac. h.)
Retsmedicinsk undersøgelse af mobile enheder Behovet for retsmedicinsk undersøgelse Vigtigste trusler mod mobile enheder
Behovet for retsmedicinsk undersøgelse
Top trusler mod mobile enheder
Mobile enheder og retsmedicin
Mobile OS og kriminaltekniske arkitektoniske lag af mobile enheder Android Architectural Stack Android Boot Process iOS-arkitektur iOS-startproces Normal og DFU-opstart iPhone-opstart i DFU-tilstand Mobil lagring og bevisområder
Arkitektoniske lag af mobile enheder
Android arkitektonisk stak
Android boot proces
iOS arkitektur
iOS-downloadproces
Opstart i normal tilstand og i DFU-tilstand
Start iPhone i DFU-tilstand
Mobil opbevaring og bevisopbevaring
Hvad skal der gøres før undersøgelsen? Forbered en retsmedicinsk arbejdsstation Opbyg et efterforskningshold Overvej politikker og love Få tilladelse til forskning Vurder risici Opret et sæt retsmedicinske værktøjer undersøgelse
Forbered en arbejdsstation til retsmedicinsk undersøgelse
Byg et efterforskningshold
Overvej politikker og love
Få tilladelse til forskning
Vurder risici
Opret et sæt retsmedicinske værktøjer
Mobiltelefonbevisanalyse
Retsmedicinsk proces for mobilenheder Indsamling af beviser Dokumentation af et gerningssted Dokumentation af beviser Bevarelse af beviser Et sæt regler for håndtering mobiltelefon Indeslutning af mobiltelefonsignal Pakning, transport og opbevaring af beviser Imaging Værktøjer til at skabe mobile diskbilleder enheder Omgå telefonlås Omgå Android-telefonlås adgangskode Omgå iPhone-kode Aktivering af USB-fejlretning Teknikker til fjernelse af platformsbeskyttelse Indsamling og analyse information Indsamling af beviser fra mobile enheder Dataindsamlingsmetoder Mobilnetværk Subscriber Identity Module (SIM) Logisk dataindsamling Fysisk dataindsamling Isolering homogene datasæt SQLite-databaseudtræk Mobile dataindsamlingsværktøjer Oprettelse af en undersøgelsesrapport Undersøgelsesrapportskabelon mobil enhed
Indsamling af beviser
Dokumentation af et gerningssted Dokumentation af beviser Bevarelse af bevis Et sæt regler for håndtering mobiltelefon Indeslutning af mobiltelefonsignal Emballage, transport og opbevaring beviser
Dokumentation af beviser
Bevarelse af beviser
Et sæt regler for håndtering af en mobiltelefon
Mobiltelefonsignal jamming
Emballering, transport og opbevaring af bevismateriale
Fjernelse af et billede Værktøjer til at oprette et diskbillede af mobile enheder Omgå telefonlås Bypass Android-telefonlås adgangskode Omgå iPhone-kode Aktiver USB-fejlretningsfjernelsesteknikker platforme
Værktøjer til at skabe diskbilleder af mobile enheder
Omgå telefonlås
Omgå Android-telefonlås-adgangskode
iPhone kode omgåelse
Aktiver USB-fejlretning
Teknikker til fjernelse af platformsbeskyttelse
Indsamling og analyse af information Indsamling af beviser fra mobile enheder Dataindsamlingsmetoder Mobilnetværk Subscriber identification module (SIM) Logisk indsamling data Fysisk dataindsamling Isolering af homogene datasæt SQLite-databaseudtræk Værktøjer til indsamling af data fra mobile enheder
Indsamling af beviser fra mobile enheder
Dataindsamlingsmetoder
Mobilnetværk
Subscriber Identity Module (SIM)
Logisk dataindsamling
Fysisk dataindsamling
Isolering af homogene dataarrays
Udpakning af SQLite-databasen
Værktøjer til mobil dataindsamling
Opret en undersøgelsesrapport Skabelon til undersøgelsesrapport for mobil enhed
Skabelon til undersøgelsesrapport for mobilenheder
Retsmedicinsk analyse af et mobilenhedsbillede og genfinding af slettede filer ved hjælp af obduktion
Undersøgelse af en Android-enhed ved hjælp af Andriller
Modul 14. Udarbejdelse af en undersøgelsesrapport (2 ac. h.)
Udarbejdelse af en undersøgelsesrapport Retsmedicinsk undersøgelsesrapport Vigtige aspekter af en god rapportskabelon retsmedicinsk rapport Klassificering af rapporter Retningslinjer for at skrive en rapport Skrivetip rapport
Retsmedicinsk efterforskningsrapport
Vigtige aspekter af en god rapport
Retsmedicinsk rapport skabelon
Rapport klassificering
Guide til at skrive en rapport
Tips til at skrive en rapport
Vidnesbyrd fra et ekspertvidne Hvem er et "ekspertvidne"? Det ekspertvidnes rolle Teknisk vidne og ekspertvidne Dewbert Standard Freie Standard Rules of Good ekspertvidne Vigtigheden af et CV Professionel kodeks for et ekspertvidne Forberedelse til at vidne vidnesbyrd
Hvem er et "ekspertvidne"?
Den sagkyndiges rolle
Teknisk vidne og sagkyndig vidne
Deubert standard
Fri standard
Regler for et godt sagkyndigt vidne
Vigtigheden af et CV
Professionel kodeks for ekspertvidne
Forbereder sig på at vidne
Vidnesbyrd i retten Generelle procedurer i retssager Generel etik ved vidneudsagn Vigtigheden af grafik i vidneudsagn Hvordan undgår man problemer med vidneudsagn Vidnesbyrd under direkte undersøgelse Vidnesbyrd under krydsforhør Vidnesbyrd inkluderet i materialerne anliggender
Generel procedure for retssager
Generel etik ved vidneudsagn
Betydningen af grafik i aflæsninger
Sådan undgår du problemer med aflæsninger
Vidne under direkte undersøgelse
Vidne under krydsforhør
Vidneforklaring tilføjet til sagens akter
Arbejde med medierne
Udarbejdelse af en hændelsesundersøgelsesrapport
Modul 15. Afsluttende prøve (4 ak. h.)