Hacker incidensek kivizsgálása. A kriminalisztika alapjai - tanfolyam 179 990 dörzsölje. szakorvostól, képzés, Dátum: 2024. január 20.
Vegyes Cikkek / / December 02, 2023
A kurzus program lefekteti a kriminalisztika alapjait - a számítógépes bűnözés megoldásának alkalmazott tudományát, a digitális bizonyítékok kutatását és elemzését. A hacker-incidensek kivizsgálásáról szóló tanfolyam egyértelmű iránymutatásokat és irányokat ad a fejlesztéséhez. Ezen az órán megtanulhatod, hogyan azonosíthatod, vizsgálhatod és háríthatod el a számítógépes bűncselekmények következményeit. Megtanulja az eljárást annak megállapítására, hogy egy hacker behatolt-e egy rendszerbe, és javaslatokat kaphat a potenciális behatolók tevékenységének megfigyelésére.
A kurzus úgy van kialakítva, hogy az új elméleti ismereteket szükségszerűen a valós esetekhez lehető legközelebb álló gyakorlat támogassa. Az elméletet megerősíted laboratóriumi munkával (összesen 39 db van), amely gyakorlatot is tartalmaz kiberbűnözés nyomozása e-mail, mobil és felhőplatformok segítségével szolgáltatások.
Ez a tanfolyam ideális számodra, ha:
A tanfolyam kiterjed a rendszerek katasztrófa utáni helyreállítására is. .
Tanulni fogsz:
digitális bizonyítékok keresése, beszerzése és elemzése;
a hackelési technikákból eredő incidensek kivizsgálása;
alkalmazza a kibertörvényszéki nyomozás módszereit és technikáit;
az összegyűjtött adatokat számítógépes incidens kivizsgálása keretében értelmezni.
1. modul. Számítógépes kriminalisztika a modern világban (2 ak. h.)
Mi az a számítógépes kriminalisztika
Számítógépes kriminalisztika alkalmazása
A számítógépes bűncselekmények típusai
Esettanulmány. Példák a számítógépes bűnözés nyomozására
Az igazságügyi szakértői vizsgálat nehézségei
Kiberbűnözés-nyomozás
Polgári nyomozás
Bűnügyi nyomozás
Adminisztratív vizsgálat
Esettanulmány. Példák a vizsgálati típusokra
Az igazságügyi orvosszakértői vizsgálat szabályai
Szervezett bűnözői csoportok által elkövetett bűncselekmények nyomozása (Enterprise Theory of Investigation)
Digitális bizonyíték
Mi a digitális bizonyíték
A digitális bizonyítékok típusai
A digitális bizonyítékok jellemzői
A digitális bizonyítékok szerepe
A lehetséges bizonyítékok forrásai
A bizonyítékok gyűjtésének szabályai
Legjobb bizonyítási követelmény
Bizonyítási kódex
Származékos bizonyítások
A digitális bizonyítékokkal foglalkozó tudományos munkacsoport (SWGDE)
Felkészültség a törvényszéki vizsgálatra
Számítógépes kriminalisztika az incidens-elhárítási terv részeként
Számítógépes kriminalisztika szükségessége
A törvényszéki nyomozó szerepei és felelőssége
A törvényszéki nyomozás problémái
Jogi esetek
Adatvédelmi problémák
Etikai szabályok
Számítógépes kriminalisztikai források
A számítógépes bûnügyi nyomozás alapjainak elsajátítása
A laboratórium felkészítése gyakorlati kísérletekre
2. modul. A számítógépes események kivizsgálásának folyamata (2 ac. h.)
A vizsgálati folyamat fontossága
A vizsgálati folyamat szakaszai
Előzetes vizsgálati szakasz Az igazságügyi szakértői laboratórium előkészítése Nyomozócsoport felépítése Irányelvek és törvények áttekintése Minőségbiztosítási folyamatok kialakítása Adatmegsemmisítési szabványok megértése Értékelés kockázat
Törvényszéki laboratóriumi előkészítés
A nyomozócsoport felépítése
Irányelvek és törvények áttekintése
Minőségi folyamatok létrehozása
Bevezetés az adatmegsemmisítési szabványokba
Kockázatértékelés
Vizsgálati szakasz Vizsgálati folyamat Vizsgálati módszertan: gyors reagálás Vizsgálati módszertan: átkutatás és lefoglalás Lebonyolítás Előzetes interjúk Kutatás és lefoglalás tervezése Kutatás és lefoglalási parancs Egészségügyi és biztonsági kérdések Biztonsági és bűnügyi helyszínelés: ellenőrző lista
Vizsgálati folyamat
Vizsgálati módszertan: gyors reagálás
Vizsgálati módszertan: házkutatás és lefoglalás
Előzetes interjúk készítése
Az ellenőrzés és a lefoglalás tervezése
Kutatási és lefoglalási parancs
Egészségügyi és biztonsági kérdések
Helyszínvédelem és értékelés: Ellenőrző lista
Vizsgálati módszertan: bizonyítékgyűjtés Tárgyi bizonyíték gyűjtése Bizonyítékgyűjtési lap Elektronikus bizonyítékok gyűjtése és megőrzése Munka bekapcsolt számítógépekkel Munkavégzés kikapcsolt számítógépekkel Munkavégzés hálózati számítógéppel Munkavégzés megnyitott fájlokkal és indító fájlokkal Eljárás az operációs rendszer kikapcsolása Munkaállomásokkal és szerverekkel való munkavégzés laptop számítógépekkel Munkavégzés bekapcsolt laptopokkal számítógépek
Bizonyítékgyűjtés
Bizonyítékgyűjtési űrlap
Elektronikus bizonyítékok gyűjtése és megőrzése
Munkavégzés bekapcsolt számítógépekkel
Munka kikapcsolt számítógépekkel
Munkavégzés hálózati számítógéppel
Munka a megnyitott fájlokkal és az indító fájlokkal
Az operációs rendszer leállításának eljárása
Munkaállomásokkal és szerverekkel való munka
Laptop számítógépekkel végzett munka
Munkavégzés bekapcsolt laptopokkal
Vizsgálati módszertan: bizonyítékok védelme Bizonyítékkezelés Bizonyítékok átadásának és tárolásának eljárása Csomagolás ill elektronikus bizonyítékok szállítása Tárgyi bizonyítékok számozása Elektronikus bizonyítékok tárolása bizonyíték
Bizonyítékkezelés
A bizonyítékok átadásának és tárolásának eljárása
Elektronikus bizonyítékok csomagolása és szállítása
A tárgyi bizonyítékok számozása
Elektronikus bizonyítékok tárolása
Vizsgálati módszertan: Adatgyűjtési adatgyűjtési útmutató Adatmásolatok A kép integritásának ellenőrzése Adat-helyreállítás
Adatgyűjtési útmutató
Adatmásolás
A kép integritásának ellenőrzése
Adat visszanyerés
Vizsgálati módszertan: adatelemző adatelemző folyamat adatelemző szoftver
Adatelemzési folyamat
Adatelemző szoftver
A nyomozás utáni szakasz
Vizsgálati módszertan: bizonyítékok értékelése A talált bizonyítékok értékelése Bizonyítékok beépítése az ügybe Az értékelés feldolgozása helyek Adatgyűjtés közösségi hálózatokról Javaslatok közösségi hálózatok kutatásához Ajánlások a bizonyítékok értékelése
A talált bizonyítékok értékelése
Bizonyítékok hozzáadása az ügyhöz
Helybecslés feldolgozása
Adatgyűjtés a közösségi hálózatokról
Social Media Research Guidelines
Útmutató a bizonyítékok értékeléséhez
Vizsgálati módszertan: dokumentálás és jelentéstétel Dokumentáció a nyomozás egyes fázisaihoz Információgyűjtés és -szervezés Vizsgálati jegyzőkönyv készítése
Dokumentáció a vizsgálat minden szakaszához
Információgyűjtés és rendszerezés
Kutatási jelentés írása
Vizsgálati módszertan: szakértői vallomás Szakértői tevékenység az ügy lezárása
Szakértői tanúként szolgál
Az ügy lezárása
Szakmai magatartás
A törvényszéki nyomozás folyamatában szükséges szoftvereszközök tanulmányozása és gyakorlati alkalmazása
3. modul. Merevlemezek és fájlrendszerek (4 ac. h.)
A merevlemez-meghajtók áttekintése Merevlemez-meghajtók (HDD) Szilárdtest-meghajtók (SSD) A merevlemez fizikai felépítése A merevlemez logikai felépítése A merevlemez-illesztőfelületek típusai Merevlemez-illesztőfelületek lemezek Sávok Szektorok Klaszterek Hibás szektorok Bitek, bájtok és nibble-ek Adatok címzése merevlemezen Adatsűrűség a merevlemezen Lemezkapacitás kiszámítása Merevlemez teljesítményének mérése korong
Merevlemezek (HDD)
Szilárdtestalapú meghajtók (SSD)
A merevlemez fizikai felépítése
A merevlemez logikai felépítése
A merevlemez interfészek típusai
Merevlemez interfészek
Pályák
Szektorok
Klaszterek
Rossz szektorok
Bit, byte és nibble
Adatok címzése merevlemezen
A merevlemez adatsűrűsége
Lemezkapacitás számítása
Merevlemez teljesítmény mérése
Lemezpartíciók és a rendszerindítási folyamat Lemezpartíciók BIOS-paraméterblokk fő rendszerindítási rekord (MBR) Globálisan egyedi azonosító (GUID) Mi a rendszerindítási folyamat? Windows Core rendszerfájlok Windows rendszerindítási folyamat GUID partíciós táblázat azonosító GPT fejléc és bejegyzés elemzés GPT melléktermékek Macintosh rendszerindítási folyamat Linux rendszerindítási folyamat
Lemezpartíciók
BIOS paraméterblokk
Master Boot Record (MBR)
Globálisan egyedi azonosító (GUID)
Mi a letöltési folyamat?
Windows Basic rendszerfájlok
Windows rendszerindítási folyamat
GUID partíciós tábla azonosítása
A GPT fejléc és rekordok elemzése
GPT műtermékek
Macintosh rendszerindítási folyamat
Linux rendszerindítási folyamat
Fájlrendszerek Fájlrendszerek A fájlrendszerek típusai Windows fájlrendszerek Linux fájlrendszerek Mac OS X Fájlrendszerek Fájlrendszer Oracle Solaris 11: ZFS CD-ROM/DVD fájlrendszer kompakt lemezes fájlrendszer (CDFS) virtuális fájlrendszer (VFS) sokoldalú lemezes fájlrendszer (UDF)
Általános információk a fájlrendszerekről
Fájlrendszer típusok
Windows fájlrendszerek
Linux fájlrendszerek
Mac OS X fájlrendszerek
Oracle Solaris 11 fájlrendszer: ZFS
CD-ROM/DVD fájlrendszer
Compact Disc File System (CDFS)
Virtuális fájlrendszer (VFS)
Univerzális lemezes fájlrendszer (UDF)
Tárolórendszer RAID RAID Levels Host Protected Areas (HPA-k)
RAID szintek
Host Protected Areas (HPA-k)
Fájlrendszer elemzés Homogén adathalmazok elkülönítése Képfájl elemzés (JPEG, BMP, hexadecimális képfájl formátumok) PDF fájl elemzés Word fájl elemzés Word elemzés PPT fájlok Excel fájlelemzés Népszerű fájlformátumok hexadecimális nézete (videó, hang) Fájlrendszerelemzés a Boncolás segítségével Fájlrendszerelemzés a The Sleuth Kit segítségével (TSK)
Homogén adattömbök elkülönítése
Képfájl-elemzés (JPEG, BMP, hexadecimális képfájlformátumok)
PDF fájl elemzés
Word fájl elemzés
PPT fájl elemzés
Excel fájl elemzés
Népszerű fájlformátumok (videó, hang) hexadecimális megjelenítése
Fájlrendszer-elemzés Boncolás segítségével
Fájlrendszer-elemzés a Sleuth Kit (TSK) használatával
Törölt fájlok helyreállítása
Fájlrendszer elemzés
4. modul. Adatgyűjtés és sokszorosítás (2 ak. h.)
Adatgyűjtési és replikációs fogalmak Az adatgyűjtés áttekintése Az adatgyűjtő rendszerek típusai
Általános információk az adatgyűjtésről Adatgyűjtő rendszerek típusai
Az adatgyűjtő rendszerek típusai
Valós idejű adatok beszerzése Volatilitási sorrend Tipikus hibák illékony adatok gyűjtése során Az illékony adatok gyűjtésének módszere
Volatilitási sorrend
Gyakori hibák az illékony adatok gyűjtése során
Változó adatgyűjtési módszertan
Statikus adatok beszerzése A duplikált képek statikus adatok szabályai Bitmásolással és biztonsági mentési adatmásolással kapcsolatos problémák Gyűjtési és sokszorosítási lépések Adatok előkészítése a bizonyíték benyújtására szolgáló űrlap írásvédelmének engedélyezése bizonyítékhordozón A cél adathordozó előkészítése: NIST SP 800-88 útmutató az adatgyűjtési formátum módszereinek meghatározásához adatgyűjtés A legjobb adatgyűjtési módszer meghatározása Adatgyűjtő eszköz kiválasztása Adatgyűjtés RAID meghajtókról Távoli adatgyűjtés Adatgyűjtési hibák Tervezés vészhelyzetek
Statikus adatok
Ökölszabály
Ismétlődő képek
Bitmásolás és biztonsági mentés
Problémák az adatok másolásakor
Az adatok gyűjtésének és sokszorosításának lépései Bizonyítékátadási űrlap elkészítése Írásvédelem engedélyezése bizonyítékhordozón A cél előkészítése Média: NIST SP 800-88 Útmutató Az adatgyűjtési formátum meghatározása Adatgyűjtési módszerek A legjobb adatgyűjtési módszer meghatározása Kiválasztás adatgyűjtő eszköz Adatgyűjtés RAID lemezekről Távoli adatgyűjtés Adatgyűjtési hibák Vészhelyzeti tervezés helyzetekben
Bizonyítéki űrlap elkészítése
Írásvédelem engedélyezése bizonyítékhordozón
A célhordozó előkészítése: NIST SP 800-88 útmutató
Az adatgyűjtési formátum meghatározása
Adatgyűjtési módszerek
A legjobb adatgyűjtési módszer meghatározása
Adatgyűjtő eszköz kiválasztása
Adatgyűjtés RAID lemezekről
Távoli adatlehívás
Hibák az adatgyűjtésben
Vészhelyzeti intézkedési tervek
Adatgyűjtési irányelvek
Szoftver használata adatok kinyerésére a merevlemezekről
5. modul. Az igazságügyi szakértői vizsgálatot megnehezítő technikák (2 ak. h.)
Mi az a kriminalisztika? A kriminalisztika céljai
A kriminalisztika céljai
Forensics elleni technikák Adatok/fájlok törlése Mi történik, ha töröl egy fájlt a Windows rendszerben? Windows Lomtár A Lomtár FAT és NTFS rendszerekben történő tárolása A Lomtár működése Az INFO2 fájl megsérülése A Lomtárban lévő fájlok megsérülése A Lomtár könyvtárának sérülése Helyreállítás fájlok Fájl-helyreállítási eszközök a Windows rendszerben Fájl-helyreállítási eszközök MAC OS X rendszerben Fájl-helyreállítás Linux alatt Törölt partíciók helyreállítása Jelszóvédelem Jelszótípusok Hogyan működik a jelszófeltörő jelszó-feltörési technikák? Alapértelmezett jelszavak Rainbow Tables segítségével a hash feltöréséhez A Microsoft Authentication feltörő rendszerjelszavai a BIOS-jelszavak megkerülésével Eszközök rendszergazdai jelszavak visszaállításához Eszközök alkalmazásjelszavak feltöréséhez Eszközök rendszerjelszavak feltöréséhez Szteganográfia és szteganalízis Adatok elrejtése struktúrákban fájlrendszer Nyomok elhomályosítása Műtermékek törlése Adatok és metaadatok újraírása Titkosítás Fájlrendszer titkosítása (EFS) Adat-helyreállítási eszközök EFS titkosított hálózati protokollok Packerek Rootkitek Rootkitek észlelése A rootkitek észlelésének lépései Nyomok minimalizálása Hibák kihasználása kriminalisztikai eszközökben Felderítés törvényszéki eszközök
Adatok/fájlok törlése Mi történik, ha töröl egy fájlt a Windows rendszerben?
Mi történik, ha töröl egy fájlt a Windows rendszerben?
Windows Lomtár A Lomtár FAT és NTFS rendszerekben tárolt helye A Lomtár működése Az INFO2 fájl megsérülése A Lomtárban lévő fájlok megsérülése A Lomtár könyvtárának sérülése
Lomtár tárolási helye FAT és NTFS rendszerekben
Hogyan működik a bevásárlókosár
Az INFO2 fájl sérülése
A Lomtárban lévő fájlok sérülése
Lomtár címtársérülés
Fájl-helyreállítás Fájl-helyreállítási eszközök a Windowsban Fájl-helyreállítási eszközök a MAC OS X rendszerben Fájl-helyreállítás Linuxban Törölt partíciók helyreállítása
Fájl-helyreállítási eszközök a Windows rendszerben
Fájlhelyreállító eszközök MAC OS X rendszerben
Fájl-helyreállítás Linuxban
Törölt partíciók helyreállítása
Jelszavas védelem Jelszavak típusai Hogyan működik a jelszófeltörő technikák Jelszótörési technikák Alapértelmezett jelszavak Szivárványtáblák használata hashek feltörésére Microsoft hitelesítés Rendszerjelszavak feltörése BIOS-jelszavak megkerülése Eszközök rendszergazdai jelszó visszaállításához Eszközök alkalmazásjelszavak feltöréséhez Eszközök rendszerjelszavak feltöréséhez jelszavakat
Jelszótípusok
A jelszótörő munkája
Jelszó feltörési technikák
Alapértelmezett jelszavak
Szivárványtáblák használata hashek feltörésére
Microsoft hitelesítés
Rendszerjelszavak feltörése
BIOS-jelszavak megkerülése
Eszközök a rendszergazdai jelszó visszaállításához
Eszközök az alkalmazások jelszavainak feltörésére
Eszközök a rendszerjelszavak feltöréséhez
Szteganográfia és szteganalízis
Adatok elrejtése a fájlrendszer-struktúrákban
A nyomok elhomályosítása
Leletek törlése
Adatok és metaadatok újraírása
Encryption Encrypting File System (EFS) EFS Data Recovery Tools
Titkosító fájlrendszer (EFS)
EFS adat-helyreállító eszközök
Titkosított hálózati protokollok
Packers
Rootkitek Rootkitek észlelése A Rootkitek észlelésének lépései
Rootkit felismerés
A rootkitek észlelésének lépései
A lábnyomok minimalizálása
Hibák kihasználása a törvényszéki eszközökben
Törvényszéki szakértői eszközök felderítése
Ellenintézkedések a törvényszéki szakértők ellen
Az igazságügyi szakértői vizsgálatot megnehezítő eszközök
Szoftver használata az alkalmazások jelszavainak feltörésére
Szteganográfiai kimutatás
6. modul. Operációs rendszerek igazságügyi szakértői vizsgálata (4 ak. h.)
Az OS Forensics bemutatása
Törvényszéki elemzés WINDOWS
Windows Forensics módszertana Illékony információs rendszer gyűjtése ideje Regisztrált felhasználók Fájlok megnyitása Hálózati információs hálózat kapcsolatok Folyamatinformációk Folyamat- és portleképezések Folyamatmemória Hálózati állapot Nyomtatási spool fájlok Egyéb fontos információk Nem felejtő információk gyűjtése Fájlrendszerek Rendszerleíró adatbázis beállításai Biztonsági azonosítók (SID-k) Eseménynaplók ESE adatbázisfájl Csatlakoztatott eszközök Slack Space Virtuális memória Hibernációs fájlok Fájl lapozás Keresés index Rejtett partíciók keresése Rejtett alternatív adatfolyamok Egyéb nem felejtő információk Windows memóriaelemzés Virtuális merevlemezek (VHD) Memóriakiírat Az EProcess Folyamat létrehozási mechanizmus felépítése Memóriatartalmak elemzése Folyamatmemória elemzése Folyamatkép kinyerése Tartalom gyűjtése folyamatmemóriából A Windows rendszerleíró adatbázisának elemzése Registry Device Registry Structure A nyilvántartó mint naplófájl Regisztrációs adatbázis-elemzés Rendszerinformáció Időzóna-információ Nyilvános mappák Vezeték nélküli SSID-szolgáltatás kötet árnyékmásolata Rendszerindítás Felhasználói bejelentkezés Felhasználói tevékenység Indítási rendszerleíró kulcsok USB-eszközök Csatlakoztatott eszközök Tevékenységkövetés felhasználók UserAssist kulcsok MRU listák Csatlakozás más rendszerekhez Helyreállítási pont elemzés Indítási helyek meghatározása Gyorsítótár, Cookie- és előzményelemzés Mozilla Firefox Google Chrome Microsoft Edge és Internet Explorer Windows fájlelemzés Rendszer-visszaállítási pontok Fájlok előzetes letöltése Parancsikonok Képfájlok Metaadat-kutatás Mi az a metaadattípus metaadatok Metaadatok különböző fájlrendszerekben Metaadatok PDF fájlokban Metaadatok Word dokumentumokban Metaadatelemző eszközök Naplók Mik azok az események A bejelentkezési események típusai rendszer Eseménynapló fájlformátum Eseményrekordok szervezése Struktúra ELF_LOGFILE_HEADER Naplórekord szerkezete Windows 10 eseménynaplók Törvényszéki naplóelemzés Események Windows Forensics Tools
Változó információk gyűjtése Rendszeridő Regisztrált felhasználók Fájlok megnyitása Hálózati információk Hálózat kapcsolatok Folyamatinformációk Folyamat- és portleképezések Folyamatmemória Hálózati állapot Nyomtatási sorfájlok nyomtatása Egyéb fontos információ
rendszeridő
Regisztrált felhasználók
Nyissa meg a fájlokat
Hálózati információk
Hálózati kapcsolatok
Feldolgozási információ
Folyamat- és portleképezés
Folyamat memória
Hálózat állapota
Nyomtatási sor fájlok
Egyéb fontos információk
Nem felejtő információgyűjtés Fájlrendszerek Rendszerleíró adatbázis beállításai Biztonsági azonosítók (SID-k) Eseménynaplók ESE adatbázisfájl Csatlakoztatott eszközök Slack Space Virtuális memória Hibernált fájlok Oldal Fájl Keresés Index Rejtett partíciók keresése Rejtett alternatív adatfolyamok Egyéb nem felejtő információ
Fájlrendszerek
Rendszerleíró adatbázis beállításai
Biztonsági azonosítók (SID)
Eseménynaplók
ESE adatbázis fájl
Csatlakoztatott eszközök
Slack Space
Virtuális memória
Hibernált fájlok
Fájlcsere
Index keresése
Rejtett szakaszok keresése
Rejtett alternatív folyamok
Egyéb nem felejtő információ
Windows memóriaelemzés virtuális merevlemezek (VHD) memóriakiíratása E-folyamat struktúra létrehozási mechanizmusa folyamat Memóriatartalmak elemzése Folyamatmemória elemzése Folyamatkép kinyerése Tartalom gyűjtése a memóriából folyamat
Virtuális merevlemezek (VHD)
Memória dump
EProcess szerkezet
Folyamat létrehozási mechanizmus
Memóriatartalom-elemzés
Folyamatmemória elemzés
Folyamatkép lekérése
Tartalom gyűjtése a folyamatmemóriából
Windows Registry Analysis Registry Device Registry Structure Registry mint naplófájl Registry Analy System Information Time Zone Information Nyilvános mappák Vezeték nélküli SSID-k Kötet árnyékmásolási szolgáltatása Rendszerindítás Felhasználói bejelentkezés Felhasználói tevékenység USB indítási rendszerleíró kulcsok eszközök Szerelt eszközök Felhasználói tevékenység nyomon követése UserAssist kulcsok MRU listák Csatlakozás más rendszerekhez Helyreállítási pont elemzés Indítási helyek meghatározása
Registry eszköz
Nyilvántartási struktúra
Regisztráció naplófájlként
Registry elemzés
Rendszer információ
Időzóna információ
Megosztott mappák
Vezeték nélküli SSID-k
Kötet árnyékmásolási szolgáltatás
Rendszerindítás
Bejelentkezés
Felhasználói tevékenység
Indítási rendszerleíró kulcsok
USB-eszközök
Szerelhető eszközök
Felhasználói tevékenység nyomon követése
UserAssist gombok
MRU listák
Csatlakozás más rendszerekhez
Helyreállítási pont elemzés
Indítási helyek meghatározása
Gyorsítótár, cookie és előzmények elemzése Mozilla Firefox Google Chrome Microsoft Edge és Internet Explorer
Mozilla Firefox
Google Chrome
Microsoft Edge és Internet Explorer
Windows fájlelemzés Rendszer-visszaállítási pontok Fájlok előzetes letöltése Parancsikonok Képfájlok
Rendszer-visszaállítási pontok
Fájlok előhívása
Parancsikonok
Képfájlok
Metaadat-kutatás Mi a metaadat-típusok A metaadatok metaadatai a különböző fájlrendszerekben Metaadatok a PDF-fájlokban Metaadatok a Word-dokumentumokban Metaadat-elemző eszközök
Mi az a metaadat
Metaadattípusok
Metaadatok különböző fájlrendszerekben
Metaadatok PDF-fájlokban
Metaadatok a Word dokumentumokban
Metaadat-elemző eszközök
Naplók Mik azok az események A bejelentkezés típusai Események Eseménynaplófájl formátum Eseményrekordok szervezése ELF_LOGFILE_HEADER Struktúranapló rekordszerkezete Windows 10 eseménynaplók Törvényszéki naplóelemzés eseményeket
Mik azok az események
A bejelentkezési események típusai
Eseménynapló fájl formátum
Rendezvénynaplók szervezése
Struktúra ELF_LOGFILE_HEADER
Naplóbejegyzési szerkezet
Windows 10 eseménynaplók
Eseménynaplók kriminalisztikai elemzése
Windows Forensics Tools
LINUX Forensics Shell parancsok Linux naplófájlok illékony adatgyűjtés nem felejtő adatgyűjtési csereterület
Shell parancsol
Linux naplófájlok
Illékony adatgyűjtés
Nem illékony adatgyűjtés
Csere terület
MAC Forensics Bevezetés a MAC Forensics szolgáltatásba MAC Forensics Data Log Files könyvtárak MAC Forensics Tools
Bevezetés a MAC Forensicsbe
MAC Forensic Data
Naplófájlok
Katalógusok
MAC Forensics Tools
Fedezze fel és bontsa ki az elemzéshez szükséges anyagokat az OSForensics segítségével
Információk lekérése a futó folyamatokról a Process Explorer segítségével
Események elemzése Eseménynapló-böngészővel
Törvényszéki nyomozás végrehajtása Helix segítségével
Illékony adatok gyűjtése Linux alatt
Nem felejtő adatok elemzése Linuxban
7. modul. Hálózati vizsgálatok, hálózati forgalom naplózása és kiíratása (4 ac. h.)
A hálózati kriminalisztika bemutatása Mi az a hálózati kriminalisztikai napló és valós idejű elemzés Hálózati sebezhetőségek Hálózati támadások Hol lehet bizonyítékot keresni
Mi az a hálózati kriminalisztika
Naplózás és valós idejű elemzés
Hálózati sebezhetőségek
Hálózati támadások
Hol kell bizonyítékot keresni
Alapvető naplózási fogalmak A naplófájlok bizonyítékként Törvények és előírások A naplók használatának jogszerűsége A rendszeres tevékenységekről szóló nyilvántartások bizonyítékként
Naplófájlok bizonyítékként
Törvények és rendeletek
A folyóiratok felhasználásának jogszerűsége
A rendszeres tevékenységek feljegyzései bizonyítékként
Eseménykorreláció Mi az eseménykorreláció Az eseménykorreláció típusai Az eseménykorreláció előfeltételei Megközelítések eseménykorrelációk A naplófájlok pontosságának biztosítása Mindent rögzít Időt takarít meg Miért szinkronizálja az időt számítógépek? Mi az a Network Time Protocol (NTP)? Több érzékelő használata Ne veszítse el a naplókat
Mi az eseménykorreláció
Az eseménykorreláció típusai
Az eseménykorreláció előfeltételei
Az eseménykorreláció megközelítései
A naplófájlok pontosságának biztosítása
Rögzítsen mindent
Időt megtakarítani
Miért kell szinkronizálni a számítógépes időt?
Mi az a Network Time Protocol (NTP)?
Több érzékelő használata
Ne veszítse el a magazinokat
Naplókezelés Naplókezelési infrastruktúra szolgáltatások Naplókezelési problémák Naplókezelési problémák megoldása Központi naplózás Syslog protokoll Rendszerintegritás biztosítása A naplókhoz való hozzáférés szabályozása Digitális aláírás, titkosítás és ellenőrző összegeket
Naplókezelési infrastruktúra jellemzői
Naplókezelési problémák
Naplókezelési problémák megoldása
Központi naplózás
Syslog protokoll
A rendszer integritásának biztosítása
Napló hozzáférés-vezérlés
Digitális aláírás, titkosítás és ellenőrző összegek
Naplóelemzés Hálózati Forensics Engine Naplógyűjtés és -elemző eszközök Útválasztó naplóelemzési gyűjtemény információk az ARP táblából Tűzfal naplók elemzése IDS naplók elemzése Honeypot naplók elemzése DHCP naplók elemzése Naplók elemzése ODBC
Hálózati kriminalisztikai elemző motor
Naplógyűjtő és -elemző eszközök
Az útválasztó naplóinak elemzése
Információgyűjtés az ARP táblából
Tűzfalnapló elemzése
IDS naplóelemzés
Honeypot naplóelemzés
DHCP naplóelemzés
ODBC naplóelemzés
A hálózati forgalom tanulmányozása Miért érdemes a hálózati forgalmat tanulmányozni? Bizonyítékgyűjtés a Wireshark - sniffer N1 hálózati csomagelemzők szippantásával
Miért érdemes a hálózati forgalmat tanulmányozni?
Bizonyítékgyűjtés szippantással
Wireshark – N1 szippantó
Hálózati csomagelemzők
IDS naplóelemzés
Hálózati bizonyítékok dokumentálása
A bizonyítékok rekonstrukciója
Naplógyűjtés és elemzés a GFI EventsManager segítségével
A syslog adatok feltárása az XpoLog Center Suite segítségével
Vizsgálja meg a hálózati támadásokat a Kiwi Log Viewer segítségével
Vizsgálja meg a hálózati forgalmat a Wireshark segítségével
8. modul. Webszerverek feltörésének vizsgálata (2 ac. h.)
A webalkalmazások kriminalisztika bemutatása A webalkalmazás-architektúra kihívásai a webalkalmazások kriminalisztika területén
Webalkalmazás-architektúra
A webalkalmazások kriminalisztikai vizsgálatának problémái
Webes támadások vizsgálata A webalkalmazások támadásainak tünetei A webalkalmazásokkal kapcsolatos fenyegetések áttekintése Webes támadások vizsgálata
Webalkalmazás-támadás tünetei
A webalkalmazás-fenyegetések áttekintése
Web Attack Research
Az IIS Apache webszerver naplóinak vizsgálata
IIS
Apache
Telephelyek közötti parancsfájl- (XSS) támadások vizsgálata
SQL-injekciós támadások vizsgálata
Helyközi kérés-hamisítási (CSRF) támadások kivizsgálása
Kódbefecskendezési támadások vizsgálata
Cookie-mérgezéses támadások kivizsgálása
Webes támadást észlelő eszközök
Domainek és IP-címek elemzése
Webszerver elleni támadás kivizsgálása
9. modul. Adatbázis szerverek feltörésének vizsgálata (2 ac. h.)
Adatbázis-kezelő rendszerek (DBMS) törvényszéki vizsgálata
MSSQL kriminalisztika Adattárolás az SQL szerverben Hol található bizonyíték a DBMS-ben Illékony adatgyűjtés Adatfájlok és aktív tranzakciós naplók Naplógyűjtés aktív tranzakciók Adatbázisterv gyorsítótár SQL szerver események a Windowsban naplók SQL szerver nyomkövetési fájlok SQL szerver hibanaplók MS Forensics eszközök SQL
Adatok tárolása SQL szerveren
Hol találhat bizonyítékot a DBMS-ben?
Illékony adatgyűjtés
Adatfájlok és aktív tranzakciós naplók
Aktív tranzakciós naplók gyűjtése
Adatbázisterv gyorsítótár
SQL szerver események a Windows naplókban
SQL Server nyomkövetési fájlok
SQL Server hibanaplók
MS SQL Forensic Tools
MySQL Forensics MySQL Architecture adatkatalógus szerkezete MySQL Forensics Információs séma megtekintése MySQL Forensics Tools
MySQL architektúra
Adatkönyvtár-struktúra
MySQL kriminalisztika
Információs séma megtekintése
MySQL Forensics Tools
MySQL kriminalisztikai elemzési példák
Adatbázisok kinyerése Android-eszközről az Andriller segítségével
SQLite adatbázisok elemzése DB Browser for SQLite segítségével
Végezze el a MySQL adatbázis kriminalisztikai elemzését
10. modul. Felhőtechnológiák vizsgálata (2 ac. h.)
Felhőalapú számítástechnikai fogalmak A felhőalapú számítástechnika típusai A felelősségek szétválasztása a felhőalapú telepítési modellekben Felhőtechnológiák veszélyei Felhőmegoldások elleni támadások
A felhőalapú számítástechnika típusai
A felelősségek szétválasztása a felhőben
Cloud Deployment Models
A felhőtechnológiák veszélyei
Támadások a felhőmegoldások ellen
Felhő kriminalisztika
Bűnözés a felhőben Esettanulmány: a felhő, mint tárgy Esettanulmány: a felhő, mint tárgy Esettanulmány: a felhő, mint eszköz
Esettanulmány: A felhő mint alany
Esettanulmány: Felhő, mint objektum
Esettanulmány: Felhő, mint eszköz
Cloud Forensics: érdekelt felek és szerepeik
Cloud Forensics problémák Architektúra és azonosító adatgyűjtési naplók Jogi szempontok Elemzés Forensics probléma kategóriák
Építészet és identitás
Adatgyűjtés
Magazinok
Jogi szempontok
Elemzés
A kriminalisztikai problémák kategóriái
Felhőalapú tárolási kutatás
Törvényszéki vizsgálat a Dropbox szolgáltatásban A Dropbox webportál műtermékei A Dropbox kliens műtermékei Windows rendszeren
A Dropbox internetes portál műtermékei
Dropbox kliens melléktermékek Windows rendszeren
Törvényszéki vizsgálat a Google Drive szolgáltatásban A Google Drive internetes portál melléktermékei A Google Drive kliens melléktermékei Windows rendszerben
A Google Drive internetes portál műtermékei
Google Drive-ügyféltermékek Windows rendszeren
Cloud Forensics Tools
DropBox Forensic Analysis
A Google Drive törvényszéki elemzése
11. modul. Rosszindulatú szoftverek vizsgálata (4 ac. h.)
A rosszindulatú programok fogalmai A rosszindulatú programok típusai A rosszindulatú programok rendszerbe való behatolásának különböző módjai A támadók által használt általános módszerek rosszindulatú programok online terjesztésére Komponensek rosszindulatú
A rosszindulatú programok típusai
A rosszindulatú programok különféle módjai bejuthatnak a rendszerbe
A támadók által használt általános módszerek rosszindulatú programok online terjesztésére
Rosszindulatú programok összetevői
Malware Forensics Miért érdemes elemezni a rosszindulatú programok azonosítását és kivonását? malware Laboratórium a rosszindulatú programok elemzéséhez Tesztpad előkészítése a rosszindulatú programok elemzéséhez programokat
Miért kell rosszindulatú programokat elemezni?
Rosszindulatú programok azonosítása és eltávolítása
Malware Analysis Lab
Tesztpad előkészítése a rosszindulatú programok elemzéséhez
Rosszindulatú programelemző eszközök
A rosszindulatú programok elemzésének általános szabályai
A rosszindulatú programok elemzésének szervezeti kérdései
A rosszindulatú programok elemzésének típusai
Statikus elemzés Statikus malware elemzés: fájl ujjlenyomat Online malware elemző szolgáltatások Helyi és hálózati rosszindulatú programok keresése Karakterlánc-keresések végrehajtása Csomagolási/elzavarási módszerek azonosítása Információ keresése a hordozható futtatható fájlok (PE) Fájlfüggőségek meghatározása Malware-elemző eszközök szétszerelése rosszindulatú
Statikus rosszindulatú programok elemzése: fájl ujjlenyomat
Online kártevő-elemző szolgáltatások
Helyi és hálózati rosszindulatú programok keresése
Karakterlánc-keresés végrehajtása
Csomagolási/zavarásos módszerek meghatározása
Információ keresése a hordozható végrehajtható fájlokról (PE)
Fájlfüggőségek meghatározása
Rosszindulatú programok szétszerelése
Rosszindulatú programelemző eszközök
Dinamikus elemzés Folyamatfigyelés Fájl- és mappafigyelés Registry monitoring Hálózati tevékenység figyelése Monitoring portok DNS figyelése Monitoring API hívások Monitoring eszközillesztőprogramok felügyelete Indító programok figyelése Monitoring szolgáltatások ablakok
Folyamatfigyelés
Fájlok és mappák figyelése
Registry monitoring
Hálózati tevékenység figyelése
Kikötőfigyelés
DNS-figyelés
API Call Monitoring
Eszközillesztő-figyelés
Indító programok figyelése
Windows Services Monitoring
Rosszindulatú dokumentumok elemzése
Malware elemzési problémák
Gyanús fájl statikus elemzésének végrehajtása
Dinamikus rosszindulatú programok elemzése
Rosszindulatú PDF-fájl elemzése
PDF-fájlok beolvasása hálózati erőforrások használatával
Gyanús irodai dokumentumok szkennelése
12. modul. E-mail igazságügyi szakértői vizsgálata (2 ak. h.)
E-mail rendszer E-mail kliensek E-mail szerver SMTP szerver POP3 szerver IMAP szerver Az elektronikus dokumentumok kezelésének fontossága
Levelező kliensek
E-mail szerver
SMTP szerver
POP3 szerver
IMAP szerver
Az elektronikus dokumentumkezelés jelentősége
E-mailekkel kapcsolatos bűncselekmények Spam Mail feltörése Levélvihar Adathalászat E-mail-hamisítás mail Illegális üzenetek Személyazonossági csalás Lánclevelek Bûnügyi krónika
Levélszemét
Mail hackelés
Levélvihar
Adathalászat
E-mail-hamisítás
Illegális üzenetek
Identitáscsalás
Boldogság levelei
Bűnügyi krónika
E-mail üzenet E-mail üzenet fejlécek A gyakori e-mail fejlécek listája
E-mail fejlécek
Tipikus levélfejlécek listája
Lépések az e-mailes bűncselekmények kivizsgálásához, engedély megszerzése az e-mail üzenetek felkutatására, lefoglalására és kivizsgálására E-mail üzenetek másolása Üzenetek fejléceinek megtekintése a Microsoft Outlook alkalmazásban az AOL alkalmazásban az Apple Mailben a Gmailben a Yahoo Mailben Az e-mail üzenetek fejléceinek elemzése További fájlok ellenőrzése (.pst / .ost) E-mail érvényességének ellenőrzése IP-címek vizsgálata E-mailek eredetének nyomon követése Információk ellenőrzése fejléc Webmail követés E-mail archívumok gyűjtése E-mail archívumok E-mail archívumok tartalma Helyi archívum Szerver archívum Helyreállítás törölt e-mailek E-mail naplók vizsgálata Linux e-mail szerver naplók >Microsoft Exchange e-mail szerver naplók Szervernaplók Novell email
Engedély megszerzése ellenőrzésre, lefoglalásra és vizsgálatra
E-mail kutatás
E-mail üzenetek másolása
Üzenetek fejléceinek megtekintése a Microsoft Outlookban az AOL-ban az Apple Mailben a Yahoo Mail Gmailben
a Microsoft Outlookban
az AOL-on
az Apple Mailben
a Gmailben
a Yahoo Mailben
E-mail fejlécek elemzése További fájlok ellenőrzése (.pst / .ost) E-mailek érvényességének ellenőrzése IP-címek keresése
További fájlok ellenőrzése (.pst / .ost)
E-mail érvényesítési ellenőrzés
IP cím kutatás
E-mail eredetkövetés Fejléc információk ellenőrzése Webmail követés
A fejléc információinak ellenőrzése
Webmail követés
E-mail archívumok gyűjtése E-mail archívumok E-mail archívumok tartalma Helyi archívum Szerver archívum Törölt e-mailek helyreállítása
E-mail archívum
Az e-mail archívum tartalma
Helyi archívum
Szerver archívum
Törölt e-mailek helyreállítása
Az e-mail naplók vizsgálata Linux e-mail szerver naplói > Microsoft Exchange e-mail szerver naplói Novell e-mail szerver naplói
Linux e-mail szerver naplók
>Microsoft Exchange e-mail szerver naplói
Novell e-mail szerver naplók
Törvényszéki eszközök
E-mail bűnügyi törvények
Helyezze vissza a törölt e-maileket az E-mail helyreállítása funkcióval
Kiberbűnözéskutatás Paraben e-mail vizsgálóval
E-mail nyomon követése az eMailTrackerPro segítségével
13. modul. Mobileszközök feltörésének vizsgálata (2 ac. h.)
Mobil eszközök igazságügyi szakértői vizsgálata Az igazságügyi szakértői vizsgálat szükségessége A mobileszközöket fenyegető főbb veszélyek
Az igazságügyi szakértői vizsgálat szükségessége
A mobileszközöket fenyegető legfőbb veszélyek
Mobil eszközök és kriminalisztika
Mobil operációs rendszer és törvényszéki mobileszközök építészeti rétegei Android architektúra verem Android rendszerindítási folyamat iOS architektúra iOS rendszerindítási folyamat Normál és DFU rendszerindítás Az iPhone indítása DFU módban Mobil tárolás és bizonyíték területek
A mobileszközök építészeti rétegei
Android építészeti stack
Android rendszerindítási folyamat
iOS architektúra
iOS letöltési folyamat
Indítás normál módban és DFU módban
Indítsa el az iPhone-t DFU módba
Mobil tárolás és bizonyítéktárolás
Mit kell tenni a vizsgálat előtt? Törvényszéki munkaállomás előkészítése Nyomozócsoport felépítése Fontolja meg az irányelveket és törvények Kérjen engedélyt a kutatáshoz. Mérje fel a kockázatokat. Hozzon létre egy sor igazságügyi szakértői eszközt vizsgálat
Készítsen munkaállomást az igazságügyi szakértői vizsgálathoz
Építs fel egy nyomozócsoportot
Vegye figyelembe az irányelveket és a törvényeket
Kérjen engedélyt a kutatáshoz
Mérje fel a kockázatokat
Készítsen kriminalisztikai eszközkészletet
Mobiltelefon bizonyítékok elemzése
Mobileszköz kriminalisztikai folyamat Bizonyítékgyűjtés A tetthely dokumentálása Bizonyítékok dokumentálása Bizonyítékok megőrzése A kezelés szabályai mobiltelefon Mobiltelefon jelének tárolása Bizonyítékok csomagolása, szállítása és tárolása Képalkotó eszközök mobil lemezképek készítéséhez eszközök Telefonzár megkerülése Android telefonzár jelszavának megkerülése iPhone kód megkerülése USB hibakeresés engedélyezése Platformvédelem eltávolítási technikák Gyűjtés és elemzés információ Bizonyítékgyűjtés mobil eszközökről Adatgyűjtési módszerek Mobilhálózat Előfizetői azonosító modul (SIM) Logikai adatgyűjtés Fizikai adatgyűjtés Izoláció homogén adatkészletek SQLite adatbázis kinyerés Mobil adatgyűjtő eszközök Vizsgálati jelentés készítése Vizsgálati jelentés sablon mobil eszköz
Bizonyítékok gyűjtése
A tetthely dokumentálása Bizonyítékok dokumentálása Bizonyítékok megőrzése A kezelés szabályai mobiltelefon Mobiltelefon jelének visszatartása Csomagolás, szállítás és tárolás bizonyíték
Bizonyítékok dokumentálása
A bizonyítékok megőrzése
A mobiltelefon kezelésének szabályai
Mobiltelefon jelzavar
A bizonyítékok csomagolása, szállítása és tárolása
Kép eltávolítása Eszközök mobileszközök lemezképének létrehozásához Telefonzár megkerülése Kiiktatás Android telefonzár jelszavának megkerülése iPhone kód engedélyezése USB hibakeresés eltávolítási technikák platformok
Eszközök a mobileszközök lemezképeinek létrehozásához
A telefonzár megkerülése
Kerülje meg az Android telefonzár jelszavát
iPhone Code Bypass
USB hibakeresés engedélyezése
Az emelőkosár védelmének eltávolításának technikái
Információgyűjtés és -elemzés Bizonyítékgyűjtés mobil eszközökről Adatgyűjtési módszerek Mobilhálózat Előfizető-azonosító modul (SIM) Logikai gyűjtés adatok Fizikai adatgyűjtés Homogén adathalmazok elkülönítése SQLite adatbázis kinyerés Eszközök adatgyűjtéshez mobil eszközökről
Bizonyítékgyűjtés mobil eszközökről
Adatgyűjtési módszerek
Mobilhálózat
Előfizetői azonosító modul (SIM)
Logikai adatgyűjtés
Fizikai adatgyűjtés
Homogén adattömbök elkülönítése
Az SQLite adatbázis kibontása
Mobil adatgyűjtési eszközök
Hozzon létre egy vizsgálati jelentést a mobileszköz vizsgálati jelentésében
Mobileszköz-kutatási jelentéssablon
Mobileszköz képének törvényszéki elemzése és a törölt fájlok visszakeresése Boncolás segítségével
Android-eszköz kutatása az Andriller segítségével
14. modul. Vizsgálati jegyzőkönyv készítése (2 ak. h.)
Vizsgálati jelentés készítése Törvényszéki nyomozási jelentés A jó jelentéssablon fontos szempontjai törvényszéki jelentés A jelentések osztályozása Útmutató a jelentés készítéséhez Tippek írásához jelentés
Törvényszéki vizsgálati jelentés
A jó jelentés fontos szempontjai
Törvényszéki tudományos jelentés sablon
Jelentés besorolása
Útmutató a jelentésíráshoz
Tippek riportíráshoz
Egy szakértő tanú vallomása Ki a „szakértő”? A szakértő tanú műszaki tanú és szakértő tanú szerepe Dewbert szabvány Freie szabvány jó szabályai szakértő tanú Az önéletrajz fontossága Szakértői tanú szakmai kódja Tanúskodásra való felkészülés bizonyság
Ki a „szakértő”?
A szakértő tanú szerepe
Műszaki tanú és szakértő tanú
Deubert szabvány
Freie szabvány
A jó szakértő tanú szabályai
Az önéletrajz fontossága
Szakértői tanúk szakmai kódexe
Tanúskodásra készül
Tanúságtétel a bíróságon Általános eljárások a bírósági eljárásokban Általános etika a tanúskodás során A grafika jelentősége a tanúvallomásban Hogyan kerüljük el a problémákat tanúvallomás Közvetlen vizsgálat során tett tanúvallomás keresztkérdés során Az anyagokban szereplő tanúvallomások ügyek
A jogi eljárások általános eljárása
Általános etika tanúskodáskor
A grafika jelentése olvasmányokban
Hogyan kerüljük el a leolvasási problémákat
Tanúságtétel a közvetlen vizsgálat során
Tanúskodás a keresztkérdések során
A tanúvallomást az ügy irataihoz csatolták
Munka a médiával
Incidensvizsgálati jegyzőkönyv készítése
15. modul. Záróvizsga (4 ak. h.)