Häkkerite juhtumite uurimine. Kohtuekspertiisi alused - kursus 179 990 hõõruda. alates Spetsialist, koolitus, kuupäev 20. jaanuar 2024.

Sa õpid:
otsida, hankida ja analüüsida digitaalseid tõendeid;
uurida häkkimistehnikatest tulenevaid intsidente;
rakendada küberkohtuekspertiisi meetodeid ja tehnikaid;
tõlgendada kogutud andmeid arvutijuhtumi uurimise kontekstis.

1. moodul. Arvuti kohtuekspertiis tänapäeva maailmas (2 ak. h.)
Mis on arvuti kohtuekspertiisi
Arvuti kohtuekspertiisi rakendamine
Arvutikuritegude liigid
Juhtumiuuring. Näited arvutikuritegude uurimisest
Kohtuekspertiisi raskused
Küberkuritegevuse uurimine
Tsiviiluurimine
Kriminaaluurimine
Haldusjuurdlus
Juhtumiuuring. Uurimistüüpide näited
Kohtuarstliku ekspertiisi reeglid
Organiseeritud kuritegelike rühmituste poolt toime pandud kuritegude uurimine (Enterprise Theory of Investigation)
Digitaalsed tõendid
Mis on digitaalsed tõendid
Digitaalsete tõendite tüübid
Digitaalsete tõendite omadused
Digitaalsete tõendite roll
Võimalike tõendite allikad
Tõendite kogumise reeglid
Parima tõendi nõue
Tõenduskoodeks
Tuletistõestused
Digitaalsete tõendite teaduslik töörühm (SWGDE)
Valmisolek kohtuekspertiisi uurimiseks
Arvuti kohtuekspertiisi osana juhtumitele reageerimise plaanist
Vajadus arvutiekspertiisi järele
Kohtuekspertiisi uurija rollid ja kohustused
Kohtuekspertiisi uurimise probleemid
Legaalsed probleemid
Privaatsus probleemid
Eetikareeglid
Arvuti kohtuekspertiisi ressursid
Arvutikuritegude uurimise põhitõdede õppimine
Labori ettevalmistamine praktilisteks katseteks
2. moodul. Arvutiintsidentide uurimise protsess (2 ak. h.)
Uurimisprotsessi tähtsus
Uurimisprotsessi etapid
Eeluurimise etapp Kohtuekspertiisi labori ettevalmistamine Uurimisrühma moodustamine Põhimõtete ja seaduste ülevaatus Kvaliteedi tagamise protsesside loomine Andmete hävitamise standardite mõistmine Hindamine risk
Kohtuekspertiisi labori ettevalmistamine
Uurimisrühma ehitamine
Poliitika ja seaduste ülevaade
Kvaliteetsete protsesside loomine
Sissejuhatus andmete hävitamise standarditesse
Riskianalüüs
Uurimisetapp Uurimisprotsess Uurimise metoodika: kiirreageerimine Uurimise metoodika: läbiotsimine ja arestimine Käitumine Esialgsed intervjuud Otsimine ja arestimise kavandamine Läbiotsimine ja arestimismäärused Tervise- ja ohutusküsimused Turvalisuse ja kuriteopaiga hindamine: kontrollnimekiri
Uurimisprotsess
Uurimismetoodika: kiire reageerimine
Uurimismetoodika: läbiotsimine ja arestimine
Eelintervjuude läbiviimine
Kontrolli ja arestimise planeerimine
Läbiotsimis- ja arestimismäärus
Tervise- ja ohutusküsimused
Kuriteopaiga kaitsmine ja hindamine: kontrollnimekiri
Uurimise metoodika: tõendite kogumine Asitõendite kogumine Tõendite kogumise vorm Elektrooniliste tõendite kogumine ja säilitamine Töö sisselülitatud arvutitega Töötamine arvutitega välja lülitatud Töötamine võrguarvutiga Töötamine avatud failidega ja käivitusfailidega Toiming operatsioonisüsteemi väljalülitamine Tööjaamade ja serveritega töötamine Sülearvutitega töötamine Sisse lülitatud sülearvutitega töötamine arvutid
Tõendite kogumine
Tõendite kogumise vorm
Elektrooniliste tõendite kogumine ja säilitamine
Töötamine arvutitega sisse lülitatud
Töötamine väljalülitatud arvutitega
Võrguarvutiga töötamine
Töötamine avatud failidega ja käivitusfailidega
Operatsioonisüsteemi väljalülitamise protseduur
Töötamine tööjaamade ja serveritega
Sülearvutitega töötamine
Töötamine sisse lülitatud sülearvutitega
Uurimismetoodika: tõendite kaitse Tõendite haldamine Tõendite edastamise ja säilitamise kord Pakendamine ja elektrooniliste tõendite transport Asitõendite nummerdamine Elektrooniliste tõendite säilitamine tõendid
Tõendite haldamine
Tõendite üleandmise ja säilitamise kord
Elektrooniliste tõendite pakendamine ja transport
Asitõendite nummerdamine
Elektrooniliste tõendite säilitamine
Uurimismetoodika: andmete kogumise andmekogumisjuhend Andmete dubleerimine Kujutise terviklikkuse kontrollimine Andmete taastamine
Andmete kogumise juhend
Andmete dubleerimine
Pildi terviklikkuse kontrollimine
Andmete taastamine
Uurimismetoodika: andmete analüüsi andmeanalüüsi protsessi andmete analüüsi tarkvara
Andmete analüüsi protsess
Andmeanalüüsi tarkvara
Uurimisjärgne etapp
Uurimismetoodika: tõendite hindamine Leitud tõendite hindamine Tõendite kaasamine juhtumisse Hindamise töötlemine asukohad Andmete kogumine sotsiaalvõrgustikest Soovitused sotsiaalvõrgustike uurimiseks Soovitused tõendite hindamine
Leitud tõendite hindamine
Asjale tõendite lisamine
Asukoha hinnangu töötlemine
Andmete kogumine sotsiaalvõrgustikest
Sotsiaalmeedia uurimise juhised
Juhised tõendite hindamiseks
Uurimismetoodika: dokumenteerimine ja aruandlus Uurimise iga etapi dokumentatsioon Teabe kogumine ja korrastamine Uurimisaruande koostamine
Uurimise iga etapi dokumentatsioon
Info kogumine ja korrastamine
Uurimisaruande kirjutamine
Uurimismetoodika: eksperdi ütlused Eksperttunnistajana tegutsemine Asja lõpetamine
Tegutseb eksperttunnistajana
Juhtumi sulgemine
Professionaalne käitumine
Kohtuekspertiisi uurimisel vajalike tarkvaravahendite õppimine ja praktiline rakendamine
3. moodul. Kõvakettad ja failisüsteemid (4 ac. h.)
Kõvaketaste ülevaade Kõvakettad (HDD) Tahkiskettad (SSD) Kõvaketta füüsiline struktuur Kõvaketta loogiline struktuur Kõvaketaste liideste tüübid Kõvaketta liidesed kettad Rajad Sektorid Klastrid Vigased sektorid Bitid, baidid ja nibid Kõvaketta andmete adresseerimine Andmete tihedus kõvakettal Ketta mahu arvutamine Kõvaketta jõudluse mõõtmine kettale
Kõvakettad (HDD)
Pooljuhtkettad (SSD)
Kõvaketta füüsiline struktuur
Kõvaketta loogiline struktuur
Kõvaketta liideste tüübid
Kõvaketta liidesed
Lood
Sektorid
Klastrid
Halvad sektorid
Bitt, bait ja näksimine
Kõvakettal olevate andmete adresseerimine
Kõvaketta andmete tihedus
Ketta mahu arvutamine
Kõvaketta jõudluse mõõtmine
Kettapartitsioonid ja alglaadimisprotsess Kettapartitsioonid BIOS-i parameetrite ploki põhikäivituskirje (MBR) globaalne kordumatu identifikaator (GUID) Mis on alglaadimisprotsess? Windowsi põhisüsteemi failid Windowsi alglaadimisprotsessi GUID partitsioonitabeli identifitseerimine GPT päise ja kirje analüüs GPT artefaktid Macintoshi alglaadimisprotsess Linuxi alglaadimisprotsess
Ketta partitsioonid
BIOS-i parameetrite plokk
Master Boot Record (MBR)
Globaalselt kordumatu identifikaator (GUID)
Mis on allalaadimise protsess?
Windowsi põhisüsteemi failid
Windowsi alglaadimisprotsess
GUID-i partitsioonitabeli identifitseerimine
GPT päise ja kirjete analüüs
GPT artefaktid
Macintoshi alglaadimisprotsess
Linuxi alglaadimisprotsess
Failisüsteemid Failisüsteemide mõistmine Failisüsteemide tüübid Windowsi failisüsteemid Linuxi failisüsteemid Mac OS X failisüsteemid Failisüsteem Oracle Solaris 11: ZFS-i CD-ROM-i/DVD-failisüsteem kompaktketta failisüsteem (CDFS) virtuaalne failisüsteem (VFS) mitmekülgne kettafailisüsteem (UDF)
Üldteave failisüsteemide kohta
Failisüsteemi tüübid
Windowsi failisüsteemid
Linuxi failisüsteemid
Mac OS X failisüsteemid
Oracle Solaris 11 failisüsteem: ZFS
CD-ROM/DVD failisüsteem
Compact Disc failisüsteem (CDFS)
Virtuaalne failisüsteem (VFS)
Universaalne kettafailisüsteem (UDF)
Salvestussüsteem RAID RAID Levels Host Protected Areas (HPA-d)
RAID tasemed
Host Protected Areas (HPA-d)
Failisüsteemi analüüs Homogeensete andmekogumite eraldamine Pildifailide analüüs (JPEG, BMP, kuueteistkümnendkujulised pildifailivormingud) PDF-failide analüüs Wordi faili analüüs Wordi analüüs PPT-failid Exceli failianalüüs Populaarsete failivormingute (video, heli) kuueteistkümnendsüsteem Failisüsteemi analüüs lahkamise abil Failisüsteemi analüüs Sleuthi komplekti abil (TSK)
Homogeensete andmemassiivide eraldamine
Pildifailide analüüs (JPEG, BMP, kuueteistkümnendsüsteemis pildifailivormingud)
PDF-faili analüüs
Wordi faili analüüs
PPT-faili analüüs
Exceli failianalüüs
Populaarsete failivormingute (video, heli) kuueteistkümnendsüsteem
Failisüsteemi analüüs lahkamise abil
Failisüsteemi analüüs Sleuthi komplekti (TSK) abil
Kustutatud failide taastamine
Failisüsteemi analüüs
4. moodul. Andmete kogumine ja dubleerimine (2 ak. h.)
Andmete kogumise ja replikatsiooni kontseptsioonid Andmekogumise ülevaade Andmekogumissüsteemide tüübid
Üldteave andmete kogumise kohta Andmekogumissüsteemide tüübid
Andmehõivesüsteemide tüübid
Reaalajas andmete hankimine Volatiilsuse järjekord Tüüpilised vead lenduvate andmete kogumisel Lenduvate andmete kogumise metoodika
Volatiilsusjärjekord
Levinud vead lenduvate andmete kogumisel
Muutuvate andmete kogumise metoodika
Staatiliste andmete hankimine Staatiliste andmete reeglid dubleerivate piltide bittikopeerimise ja andmete varundamisega seotud probleemid Kogumise ja dubleerimise sammud Andmed tõendite esitamise vormi ettevalmistamine tõendite kandjatel kirjutamiskaitse võimaldamine Sihtkandja ettevalmistamine: NIST SP 800-88 juhend andmete kogumise vormingu meetodite määramiseks andmete kogumine Parima andmekogumismeetodi määramine Andmete kogumise tööriista valimine Andmete kogumine RAID-draividelt Andmete kaughõive Andmete kogumise vead Planeerimine hädaolukorrad
Staatilised andmed
Rusikareeglid
Dubleerivad pildid
Biti koopia ja varundamine
Probleemid andmete kopeerimisel
Andmete kogumise ja dubleerimise sammud Tõendite edastamise vormi ettevalmistamine Tõenduskandjal kirjutuskaitse lubamine Sihtmärgi ettevalmistamine Meedia: NIST SP 800-88 juhend Andmekogumisvormingu määramine Andmekogumismeetodid Parima andmekogumismeetodi määramine Valimine andmete kogumise tööriist Andmete kogumine RAID-ketastelt Andmete kaughõive Andmete kogumise vead Hädaolukorra planeerimine olukordi
Tõendusvormi ettevalmistamine
Tõenduskandjal kirjutuskaitse lubamine
Sihtkandja ettevalmistamine: NIST SP 800-88 juhend
Andmekogumisvormingu määratlemine
Andmete kogumise meetodid
Parima andmekogumismeetodi kindlaksmääramine
Andmekogumistööriista valimine
Andmete kogumine RAID-ketastelt
Andmete kaugotsing
Vead andmete kogumisel
Eriolukorra planeerimine
Andmete kogumise juhised
Tarkvara kasutamine andmete eraldamiseks kõvakettalt
5. moodul. Meetodid, mis raskendavad kohtuekspertiisi (2 ak. h.)
Mis on kohtuekspertiis? Kohtuekspertiisi eesmärgid
Kohtuekspertiisi eesmärgid
Kohtuekspertiisivastased tehnikad Andmete/failide kustutamine Mis juhtub, kui Windowsis faili kustutate? Windowsi prügikast, kuhu prügikast salvestatakse FAT- ja NTFS-süsteemides Kuidas prügikast töötab INFO2-faili rikumine Prügikastis olevate failide rikkumine Prügikasti kataloogi kahjustused taastamine failid Failide taastamise tööriistad Windowsis Failide taastamise tööriistad MAC OS X-is Failide taastamine Linuxis Kustutatud partitsioonide taastamine Paroolikaitse Paroolitüübid Kuidas paroolimurdja töötab Paroolimurdmise tehnikad Vaikeparoolid Rainbow Tables abil räsimurdmiseks Microsofti autentimise krakkimissüsteemi paroolid BIOS-i paroolidest mööda minnes Tööriistad administraatori paroolide lähtestamiseks Tööriistad rakenduste paroolide murdmiseks Tööriistad süsteemiparoolide murdmiseks Steganograafia ja stegaanalüüs Andmete peitmine struktuurides failisüsteem Jälgede hägustamine Artefaktide kustutamine Andmete ja metaandmete ümberkirjutamine Krüpteerimine Failisüsteemi krüptimine (EFS) Andmete taastamise tööriistad EFS Krüpteeritud võrguprotokollid Packerid juurkomplektid Juurkomplektide tuvastamine Juurkomplektide tuvastamise sammud Jälgede minimeerimine Kohtuekspertiisi tööriistade vigade ärakasutamine Tuvastamine kohtuekspertiisi tööriistad
Andmete/failide kustutamine Mis juhtub, kui Windowsis faili kustutate?
Mis juhtub, kui kustutate Windowsis faili?
Windowsi prügikast, kuhu prügikast salvestatakse FAT- ja NTFS-süsteemides Kuidas prügikast töötab INFO2-faili rikumine Prügikastis olevate failide rikumine Prügikasti kataloogi rikkumine
Prügikasti salvestuskoht FAT- ja NTFS-süsteemides
Kuidas ostukorv töötab
INFO2 faili rikkumine
Prügikastis olevate failide kahjustused
Prügikasti kataloogi rikkumine
Failide taastamise tööriistad Windowsis Failide taastamise tööriistad MAC OS X-is Failide taastamine Linuxis Kustutatud partitsioonide taastamine
Failide taastamise tööriistad Windowsis
Failide taastamise tööriistad operatsioonisüsteemis MAC OS X
Failide taastamine Linuxis
Kustutatud partitsioonide taastamine
Paroolikaitse Paroolide tüübid Kuidas paroolimurdja töötab Paroolimurdmise tehnikad Vaikimisi paroolid Vikerkaaretabelite kasutamine räside purustamiseks Microsofti autentimine Süsteemiparoolide häkkimine BIOS-i paroolidest möödahiilimine Tööriistad administraatori parooli lähtestamiseks Tööriistad rakenduste paroolide murdmiseks Tööriistad süsteemiparoolide murdmiseks paroolid
Parooli tüübid
Paroolimurdja töö
Parooli murdmise tehnikad
Vaikimisi paroolid
Vikerkaaretabelite kasutamine räside purustamiseks
Microsofti autentimine
Süsteemi paroolide häkkimine
Mööduge BIOS-i paroolidest
Tööriistad administraatori parooli lähtestamiseks
Tööriistad rakenduste paroolide murdmiseks
Tööriistad süsteemi paroolide murdmiseks
Steganograafia ja stegaanalüüs
Andmete peitmine failisüsteemi struktuurides
Jälgede hägustamine
Artefaktide kustutamine
Andmete ja metaandmete ümberkirjutamine
Encryption Encrypting File System (EFS) EFS-i andmete taastamise tööriistad
Krüpteeriv failisüsteem (EFS)
EFS-i andmete taastamise tööriistad
Krüpteeritud võrguprotokollid
Pakkijad
Juurkomplektid Juurkomplektide tuvastamine Juurkomplektide tuvastamise sammud
Juurkomplekti tuvastamine
Juurkomplektide tuvastamise sammud
Jälgede minimeerimine
Kohtuekspertiisi tööriistade vigade ärakasutamine
Kohtuekspertiisi tööriistade tuvastamine
Vastumeetmed kohtuekspertiisi vastu
Vahendid, mis raskendavad kohtuekspertiisi
Tarkvara kasutamine rakenduste paroolide purustamiseks
Steganograafia tuvastamine
6. moodul. Operatsioonisüsteemide kohtuekspertiis (4 ak. h.)
Sissejuhatus OS-i kohtuekspertiisi
Kohtuekspertiisi analüüs WINDOWS
Windowsi kohtuekspertiisi metoodika Lenduva infosüsteemi kogumise aja registreeritud kasutajad avavad failid Võrgu teabevõrk ühendused Protsessiteave Protsesside ja pordide vastendused Protsessi mälu Võrgu olek Prindi spool failid Muu oluline teave Püsiva teabe kogumine Failisüsteemid Registrisätted Turvaidentifikaatorid (SID-d) Sündmuste logid ESE andmebaasifail Ühendatud seadmed Slack Space Virtuaalne mälu Talveunefailid Fail lehekülg Otsingu register Peidetud partitsioonide otsimine Peidetud alternatiivsed vood Muu püsiv teave Windowsi mäluanalüüs Virtuaalsed kõvakettad (VHD) Mälu tühjendus EProcessi protsessi loomise mehhanismi struktuur Mälu sisu analüüsimine protsessimälu analüüsimine protsessi kujutise eraldamine protsessimälust sisu kogumine Windowsi registri analüüsimine Registriseade Registristruktuur Registr kui logifail Registrianalüüsi süsteemiteave Ajavööndi teave Avalikud kaustad Juhtmevaba SSID-de teenus helitugevuse varjukoopia Süsteemi alglaadimine Kasutaja sisselogimine Kasutaja tegevus Käivitusregistri võtmed USB-seadmed Ühendatud seadmed Tegevuse jälgimine kasutajad UserAssist võtmed MRU loendid Ühenduse loomine teiste süsteemidega Taastepunktide analüüs Käivituskohtade määramine Vahemälu, küpsiste ja ajaloo analüüs Mozilla Firefox Google Chrome Microsoft Edge ja Internet Explorer Windowsi failianalüüs Süsteemi taastepunktid Failide eellaadimine Otseteed Pildifailid Metaandmete uurimine Mis on metaandmete tüübid metaandmed Metaandmed erinevates failisüsteemides Metaandmed PDF-failides Metaandmed Wordi dokumentides Metaandmete analüüsi tööriistad Logid Mis on sündmused Sisselogimissündmuste tüübid süsteem Sündmuste logi failivorming Sündmuste kirjete korraldus Struktuur ELF_LOGFILE_HEADER Logikirje struktuur Windows 10 sündmuste logid Kohtuekspertiisi logi analüüs Sündmused Windowsi kohtuekspertiisi tööriistad
Lenduva teabe kogumine Süsteemi aeg Registreeritud kasutajad Ava failid Võrguteave Võrk ühendused Protsessiteave Protsessi ja pordi vastendused Protsessi mälu Võrgu olek Prindi spuulerifailid Muu oluline teavet
Süsteemi aeg
Registreeritud kasutajad
Ava failid
Võrguteave
Võrguühendused
Töötlemisteave
Protsessi ja pordi kaardistamine
Protsessi mälu
Võrgu olek
Prindijärjekorra failid
Muu oluline teave
Püsiva teabe kogumine Failisüsteemid Registrisätted Turvaidentifikaatorid (SID-d) Sündmuste logid ESE andmebaasifail Ühendatud seadmed Slack Space Virtuaalmälu talveunerežiimi failid Lehekülje failiotsingu register Peidetud partitsioonide otsimine Peidetud alternatiivsed vood Muud mittepüsivad teavet
Failisüsteemid
Registri sätted
Turvaidentifikaatorid (SID)
Sündmuste logid
ESE andmebaasifail
Ühendatud seadmed
Slack Space
Virtuaalne mälu
Talveunerežiimi failid
Vahetage fail
Otsi indeks
Leidke peidetud jaotised
Varjatud alternatiivsed vood
Muu püsiv teave
Windowsi mäluanalüüsi virtuaalsed kõvakettad (VHD) mälu tühjendamise e-protsessi struktuuri loomise mehhanism protsess Mälu sisu analüüsimine Protsessimälu analüüsimine Protsessi kujutise eraldamine Sisu kogumine mälust protsessi
Virtuaalsed kõvakettad (VHD)
Mälu tühjendus
EProcessi struktuur
Protsessi loomise mehhanism
Mälu sisuanalüüs
Protsessimälu analüüs
Protsessi pildi allalaadimine
Sisu kogumine protsessimälust
Windowsi registrianalüüsi registriseadme registristruktuur register logifailina Registrianalüüsi süsteemiteave ajavööndi teave avalikud kaustad Traadita ühenduse SSID-d Volume Shadow Copy Service Süsteemi alglaadimine Kasutaja sisselogimine Kasutaja tegevus USB käivitusregistri võtmed seadmed Paigaldatud seadmed Kasutaja tegevuse jälgimine UserAssist võtmed MRU loendid Ühenduse loomine teiste süsteemidega Taastepunktide analüüs Käivituskohtade määramine
Registriseade
Registri struktuur
Register logifailina
Registri analüüs
Süsteemi info
Ajavööndi teave
Jagatud kaustad
Juhtmeta SSID-d
Volume Shadow Copy Service
Süsteemi alglaadimine
Kasutaja sisselogimine
Kasutaja tegevus
Käivitusregistri võtmed
USB-seadmed
Paigaldatavad seadmed
Kasutaja tegevuse jälgimine
UserAssisti võtmed
MRU nimekirjad
Ühendus teiste süsteemidega
Taastumispunktide analüüs
Käivituskohtade määramine
Vahemälu, küpsiste ja ajaloo analüüs Mozilla Firefox Google Chrome Microsoft Edge ja Internet Explorer
Mozilla Firefox
Google Chrome
Microsoft Edge ja Internet Explorer
Windowsi failianalüüs Süsteemi taastepunktid Failide eellaadimine Otseteed Pildifailid
Süsteemi taastepunktid
Failide eellaadimine
Otseteed
Pildifailid
Metaandmete uurimine Mis on metaandmete tüübid Metaandmete metaandmed erinevates failisüsteemides Metaandmed PDF-failides Metaandmed Wordi dokumentides Metaandmete analüüsi tööriistad
Mis on metaandmed
Metaandmete tüübid
Metaandmed erinevates failisüsteemides
Metaandmed PDF-failides
Metaandmed Wordi dokumentides
Metaandmete analüüsi tööriistad
Logid Mis on sündmused Sisselogimise tüübid Sündmused Sündmuste logi failivorming Sündmuste kirjete korraldamine ELF_LOGFILE_HEADER Struktuurilogi kirjestruktuur Windows 10 sündmuste logide kohtuekspertiisi logi analüüs sündmused
Mis on sündmused
Sisselogimissündmuste tüübid
Sündmuste logi failivorming
Sündmuste kirjete korraldamine
Struktuur ELF_LOGFILE_HEADER
Logi sissekande struktuur
Windows 10 sündmuste logid
Sündmuste logide kohtuekspertiisi analüüs
Windowsi kohtuekspertiisi tööriistad
LINUX-i kohtuekspertiisi shelli käsud Linuxi logifailid lenduvate andmete kogumise mittelenduvate andmete kogumise vahetusala
Shelli käsud
Linuxi logifailid
Lenduvate andmete kogumine
Püsivate andmete kogumine
Vaheta ala
MAC Forensics Sissejuhatus MAC Forensicsi MAC kohtuekspertiisi andmete logifailide kataloogid MAC kohtuekspertiisi tööriistad
Sissejuhatus MAC kohtuekspertiisi
MAC kohtuekspertiisi andmed
Logifailid
Kataloogid
MAC-i kohtuekspertiisi tööriistad
Avastage ja ekstraheerige OSForensicsi abil analüüsimiseks materjale
Töötavate protsesside teabe hankimine protsessi Exploreri abil
Sündmuste analüüsimine sündmustelogi uurija abil
Kohtuekspertiisi uurimise läbiviimine Helixi abil
Lenduvate andmete kogumine Linuxis
Püsivate andmete analüüs Linuxis
7. moodul. Võrguuuringud, võrguliikluse logid ja väljavõtted (4 ac. h.)
Sissejuhatus võrgu kohtuekspertiisi Mis on võrgu kohtuekspertiisi logi ja reaalajas analüüs Võrgu haavatavused Võrgurünnakud Kust otsida tõendeid
Mis on võrgu kohtuekspertiis
Logi ja reaalajas analüüs
Võrgu haavatavused
Võrgurünnakud
Kust tõendeid otsida
Logimise põhikontseptsioonid Logifailid tõenditena Seadused ja eeskirjad Logide kasutamise seaduslikkus Regulaarsete tegevuste kirjed tõendina
Logifailid tõenditena
Seadused ja määrused
Ajakirjade kasutamise seaduslikkus
Regulaarse tegevuse kirjed tõenditena
Sündmuste korrelatsioon Mis on sündmuste korrelatsioon Sündmuste korrelatsiooni tüübid Sündmuste korrelatsiooni eeldused Lähenemisviisid sündmuste korrelatsioonid Logifailide täpsuse tagamine Salvestage kõik Aja kokkuhoid Miks aega sünkroonida arvutid? Mis on võrguajaprotokoll (NTP)? Mitme anduri kasutamine Ärge kaotage logisid
Mis on sündmuste korrelatsioon
Sündmuste korrelatsiooni tüübid
Sündmuse korrelatsiooni eeldused
Sündmuste korrelatsiooni lähenemisviisid
Logifailide täpsuse tagamine
Salvestage kõik
Aja kokkuhoid
Miks sünkroonida arvuti aega?
Mis on võrguajaprotokoll (NTP)?
Mitme anduri kasutamine
Ärge kaotage ajakirju
Palkide haldamine Palkide haldamise infrastruktuuri funktsioonid Palkide haldamise probleemid Palkide haldamise probleemide lahendamine Tsentraliseeritud logimine Syslogi protokoll Tagage süsteemi terviklikkus Kontrollige juurdepääsu logidele Digitaalallkiri, krüpteerimine ja kontrollsummad
Logihalduse infrastruktuuri funktsioonid
Logi haldamise probleemid
Logihaldusprobleemide lahendamine
Tsentraliseeritud metsaraie
Syslogi protokoll
Süsteemi terviklikkuse tagamine
Logi juurdepääsu kontroll
Digitaalallkiri, krüpteerimine ja kontrollsummad
Logi analüüsi võrgu kohtuekspertiisi mootorite logide kogumine ja analüüsi tööriistad Ruuteri logi analüüsi kogumine teave ARP tabelist Tulemüüri logide analüüsimine IDS logide analüüsimine Honeypoti logide analüüsimine DHCP logide analüüsimine logide analüüsimine ODBC
Võrgu kohtuekspertiisi analüüsi mootor
Palkide kogumise ja analüüsi tööriistad
Ruuteri logide analüüsimine
Teabe kogumine ARP tabelist
Tulemüüri logi analüüs
IDS logi analüüs
Honeypot logi analüüs
DHCP logi analüüs
ODBC logi analüüs
Võrguliikluse uurimine Miks uurida võrguliiklust? Tõendite kogumine nuusutamise kaudu Wireshark – nuusutaja N1 võrgupakettanalüsaatorid
Miks uurida võrguliiklust?
Tõendite kogumine nuuskamise teel
Wireshark – N1 nuusutaja
Võrgupakettide analüsaatorid
IDS logi analüüs
Võrgutõendite dokumenteerimine
Tõendite rekonstrueerimine
Logi kogumine ja analüüs GFI EventsManageri abil
Syslogi andmete uurimine XpoLog Center Suite'i abil
Uurige võrgurünnakuid, kasutades Kiwi Log Viewerit
Uurige võrguliiklust Wiresharki abil
8. moodul. Veebiserverite häkkimise uurimine (2 ak. h.)
Sissejuhatus veebirakenduste kohtuekspertiisi veebirakenduste arhitektuuriga seotud väljakutsed veebirakenduste kohtuekspertiisis
Veebirakenduste arhitektuur
Veebirakenduste kohtuekspertiisi uurimise probleemid
Veebirünnakute uurimine Veebirakenduse rünnaku sümptomid Veebirakenduste ohtude ülevaade Veebirünnakute uurimine
Veebirakenduse rünnaku sümptomid
Ülevaade veebirakenduste ohtudest
Veebirünnakute uurimine
IIS Apache veebiserveri logide uurimine
IIS
Apache
Saididevahelise skriptimise (XSS) rünnakute uurimine
SQL-i süstimise rünnakute uurimine
Saididevahelise taotluse võltsimise (CSRF) rünnakute uurimine
Koodisüstimise rünnakute uurimine
Küpsisemürgistuse rünnakute uurimine
Veebirünnaku tuvastamise tööriistad
Domeenide ja IP-aadresside analüüs
Veebiserveri rünnaku uurimine
9. moodul. Andmebaasiserverite häkkimise uurimine (2 ak. h.)
Andmebaasihaldussüsteemide (DBMS) kohtuekspertiisi ekspertiis
MSSQL kohtuekspertiis Andmete salvestamine SQL-serveris Kust leida tõendeid DBMS-is Lenduvate andmete kogumine Andmefailid ja aktiivsed tehingulogid Logikogu aktiivsed tehingud Andmebaasiplaani vahemälu SQL serveri sündmused Windowsis logid SQL serveri jälgimisfailid SQL serveri vealogid MS kohtuekspertiisi tööriistad SQL
Andmete salvestamine SQL serverisse
Kust leiate DBMS-ist tõendeid?
Lenduvate andmete kogumine
Andmefailid ja aktiivsed tehingulogid
Aktiivsete tehingulogide kogumine
Andmebaasiplaani vahemälu
SQL-serveri sündmused Windowsi logides
SQL Serveri jälgimisfailid
SQL serveri vealogid
MS SQL kohtuekspertiisi tööriistad
MySQL kohtuekspertiisi MySQL arhitektuuri andmete kataloogi struktuur MySQL kohtuekspertiisi kuva teabeskeem MySQL kohtuekspertiisi tööriistad
MySQL arhitektuur
Andmekataloogi struktuur
MySQL kohtuekspertiis
Infoskeemi vaatamine
MySQL kohtuekspertiisi tööriistad
MySQL-i kohtuekspertiisi analüüsi näited
Andmebaaside ekstraktimine Android-seadmest Andrilleri abil
SQLite andmebaaside analüüsimine DB Browser for SQLite abil
Tehke MySQL-i andmebaasi kohtuekspertiisi analüüs
10. moodul. Pilvetehnoloogiate uurimine (2 ak. h.)
Pilvandmetöötluse kontseptsioonid Pilvandmetöötluse tüübid Vastutuste lahusus pilvepilve juurutusmudelites Pilvetehnoloogiate ohud Pilvelahenduste rünnakud
Pilvandmetöötluse tüübid
Kohustuste lahusus pilves
Pilve juurutamise mudelid
Pilvetehnoloogiate ohud
Rünnakud pilvelahenduste vastu
Pilve kriminalistika
Kuriteod pilves Juhtumiuuring: pilv kui subjekt Juhtumiuuring: pilv kui objekt Juhtumiuuring: pilv kui tööriist
Juhtumiuuring: pilv kui subjekt
Juhtumiuuring: Pilv kui objekt
Juhtumiuuring: pilv kui tööriist
Pilve kohtuekspertiisi: sidusrühmad ja nende rollid
Pilve kohtuekspertiisi probleemid Arhitektuur ja identifitseerimisandmete kogumise logid Õiguslikud aspektid Analüüs Kohtuekspertiisi probleemide kategooriad
Arhitektuur ja identiteet
Andmete kogumine
Ajakirjad
Õiguslikud aspektid
Analüüs
Kohtuekspertiisi probleemide kategooriad
Pilvesalvestuse uurimine
Dropboxi teenuse kohtuekspertiisi uurimine Dropboxi veebiportaali esemed Dropboxi kliendi artefaktid Windowsis
Dropboxi veebiportaali artefaktid
Dropboxi kliendi artefaktid Windowsis
Google Drive'i teenuse kohtuekspertiisi uurimine Google Drive'i veebiportaali esemed Google Drive'i kliendi artefaktid Windowsis
Google Drive'i veebiportaali artefaktid
Google Drive'i kliendi artefaktid Windowsis
Pilve kohtuekspertiisi tööriistad
DropBoxi kohtuekspertiisi analüüs
Google Drive'i kohtuekspertiisi analüüs
11. moodul. Pahatahtliku tarkvara uurimine (4 ak. h.)
Pahavara mõisted Pahavara tüübid Erinevad viisid, kuidas pahavara süsteemi tungib Levinud meetodid, mida ründajad kasutavad pahavara võrgus levitamiseks Komponendid pahavara
Pahavara tüübid
Erinevad viisid pahavara süsteemi sisenemiseks
Levinud meetodid, mida ründajad kasutavad pahavara võrgus levitamiseks
Pahavara komponendid
Pahavara kohtuekspertiis Miks analüüsida pahavara tuvastamist ja eraldamist pahavara Pahavara analüüsi labor Teststendi ettevalmistamine pahavara analüüsiks programmid
Miks analüüsida pahavara
Pahavara tuvastamine ja eraldamine
Pahavara analüüsi labor
Teststendi ettevalmistamine pahavara analüüsiks
Pahavara analüüsi tööriistad
Pahavara analüüsi üldreeglid
Pahavara analüüsi organisatsioonilised küsimused
Pahavara analüüsi tüübid
Staatiline analüüs Staatiline pahavara analüüs: faili sõrmejälgede võtmine Online pahavara analüüsiteenused Kohalikud ja võrgu pahavara skannimine Tehke stringiotsingud Pakendamis-/hägustamismeetodite tuvastamine Otsige teavet selle kohta kaasaskantavad käivitatavad failid (PE) Failide sõltuvuste määramine Pahavara lahtivõtmine Analüüsi tööriistad pahavara
Staatiline pahavara analüüs: faili sõrmejälgede võtmine
Veebipõhised pahavara analüüsiteenused
Kohaliku ja võrgu pahavara skannimine
Stringiotsingu sooritamine
Pakendamis-/hägustamismeetodite määratlemine
Teabe otsimine kaasaskantavate käivitatavate failide (PE) kohta
Failide sõltuvuste määramine
Pahavara lahtivõtmine
Pahavara analüüsi tööriistad
Dünaamiline analüüs Protsesside jälgimine Failide ja kaustade jälgimine Registri jälgimine Võrgutegevuse jälgimine Jälgimine pordid DNS jälgimine Jälgimine API kõned Seadmedraiverite jälgimine Käivitusprogrammide jälgimine Jälgimisteenused Windows
Protsessi jälgimine
Failide ja kaustade jälgimine
Registri jälgimine
Võrgutegevuse jälgimine
Sadama seire
DNS-i jälgimine
API kõne jälgimine
Seadme draiveri jälgimine
Käivitusprogrammide jälgimine
Windowsi teenuste jälgimine
Pahatahtlike dokumentide analüüs
Pahavara analüüsi probleemid
Kahtlase faili staatilise analüüsi tegemine
Dünaamiline pahavara analüüs
Pahatahtliku PDF-faili analüüs
Skannige PDF-faile võrguressursside abil
Kahtlaste kontoridokumentide skannimine
12. moodul. E-posti kohtuekspertiisi ekspertiis (2 ak. h.)
Meilisüsteem Meilikliendid Meiliserver SMTP-server POP3-server IMAP-server Elektrooniliste dokumentide haldamise tähtsus
Meilikliendid
Meiliserver
SMTP server
POP3 server
IMAP-server
Elektroonilise dokumendihalduse tähtsus
Meiliga seotud kuriteod Rämpsposti häkkimine Kirjatorm Andmepüük E-kirjade võltsimine post Illegaalsed sõnumid Identiteedipettus Kettkirjad Kriminaal kroonika
Spämm
Meili häkkimine
Postitorm
Andmepüük
Meilide võltsimine
Ebaseaduslikud sõnumid
Identiteedipettus
Õnnekirjad
Krimikroonika
Meilisõnumite e-kirjade päised Tavaliste meilipäiste loend
Meili päised
Tüüpiliste kirjapäiste loend
E-kirjade kuritegude uurimise sammud meilisõnumite otsimiseks, arestimiseks ja uurimiseks loa saamiseks Meilisõnumite kopeerimine. Saate vaadata sõnumipäiseid Microsoft Outlookis AOL-is Apple Mailis Yahoo Mailis Gmailis Meilisõnumite päiste analüüsimine Täiendavate failide (.pst / .ost) kontrollimine E-posti kehtivuse kontrollimine IP-aadresside uurimine Meili päritolu jälgimine Teabe kontrollimine päis Veebiposti jälgimine Meiliarhiivide kogumine Meiliarhiivid Meiliarhiivide sisu Kohalik arhiiv Serveri arhiiv Taastamine kustutatud meilid E-posti logide uurimine Linuxi meiliserveri logid >Microsoft Exchange'i meiliserveri logid Serveri logid Novelli e-post
Kontrollimiseks, arestimiseks ja uurimiseks loa saamine
E-posti uurimine
Meilisõnumite kopeerimine
Saate vaadata sõnumipäiseid Microsoft Outlookis AOL-is Apple Mailis Yahoo Mailis Gmailis
Microsoft Outlookis
AOL-is
Apple Mailis
Gmailis
Yahoo Mailis
Meilipäiste analüüsimine Täiendavate failide (.pst / .ost) kontrollimine Meili kehtivuse kontrollimine IP-aadresside uurimine
Täiendavate failide (.pst / .ost) kontrollimine
E-posti kinnitamise kontroll
IP-aadressi uurimine
Meili päritolu jälgimine Päise teabe kontrollimine Veebiposti jälgimine
Päise teabe kontrollimine
Veebiposti jälgimine
E-posti arhiivide kogu E-posti arhiivid E-posti arhiivide sisu Kohalik arhiiv Serveri arhiiv Kustutatud meilide taastamine
E-posti arhiivid
E-posti arhiivide sisu
Kohalik arhiiv
Serveri arhiiv
Kustutatud meilide taastamine
E-posti logide uurimine Linuxi meiliserveri logid > Microsoft Exchange'i meiliserveri logid Novelli meiliserveri logid
Linuxi meiliserveri logid
> Microsoft Exchange'i meiliserveri logid
Novelli meiliserveri logid
Kohtuekspertiisi tööriistad
Meilikuritegevuse seadused
Taasta kustutatud meilid funktsiooniga Taasta minu e-post
Küberkuritegevuse uurimine Parabeni meiliuurijaga
Meili jälitamine eMailTrackerPro abil
13. moodul. Mobiilseadmete häkkimise uurimine (2 ak. h.)
Mobiilseadmete kohtuarstlik ekspertiis Kohtuekspertiisi vajadus Peamised ohud mobiilseadmetele
Kohtuekspertiisi vajadus
Peamised ohud mobiilseadmetele
Mobiilseadmed ja kohtuekspertiisi
Mobiilne OS ja kohtuekspertiis Mobiilseadmete arhitektuurikihid Androidi arhitektuurivirn Androidi alglaadimisprotsess iOS-i arhitektuur iOS-i alglaadimisprotsess Tavaline ja DFU-käivitus iPhone'i käivitamine DFU-režiimis Mobiilne salvestusruum ja tõendusalad
Mobiilseadmete arhitektuurikihid
Androidi arhitektuurivirn
Androidi alglaadimisprotsess
iOS arhitektuur
iOS-i allalaadimisprotsess
Käivitamine tavarežiimis ja DFU režiimis
Käivitage iPhone DFU-režiimi
Mobiilne salvestusruum ja tõendite hoidmine
Mida tuleb enne uurimist teha? Valmistage ette kohtuekspertiisi tööjaam Moodustage uurimismeeskond Kaaluge poliitikaid ja seadused Hankige uurimistööks luba Riskide hindamine Loo kohtuekspertiisi tööriistade komplekt läbivaatus
Valmistage tööjaam ette kohtuarstlikuks ekspertiisiks
Moodustage uurimisrühm
Kaaluge poliitikat ja seadusi
Hankige uurimistöö luba
Hinda riske
Loo kohtuekspertiisi tööriistade komplekt
Mobiiltelefonide tõendite analüüs
Mobiilseadme kohtuekspertiisi protsess Tõendite kogumine Kuriteopaiga dokumenteerimine Tõendite dokumenteerimine Tõendite säilitamine Käsitlemise reeglid mobiiltelefon Mobiiltelefoni signaali piiramine Tõendite pakendamine, transportimine ja säilitamine Pildindustööriistad mobiiliketta kujutiste loomiseks seadmed Mööda telefoni lukust Mööda Androidi telefoni luku paroolist Mööda iPhone'i koodist USB-silumise lubamine Platvormi kaitse eemaldamise tehnikad Kogumine ja analüüs teave Tõendite kogumine mobiilseadmetest Andmete kogumise meetodid Mobiilsidevõrk Abonendi identifitseerimismoodul (SIM) Loogiline andmete kogumine Füüsiliste andmete kogumine Isolatsioon homogeensed andmekogumid SQLite'i andmebaasi ekstraktimine Mobiilsed andmekogumistööriistad Uurimisaruande koostamine Uurimisaruande mall mobiilseade
Tõendite kogumine
Kuriteopaiga dokumenteerimine Tõendite dokumenteerimine Tõendite säilitamine Käsitlemise reeglite kogum mobiiltelefon Mobiiltelefoni signaali piiramine Pakendamine, transport ja ladustamine tõendid
Tõendite dokumenteerimine
Tõendite säilitamine
Mobiiltelefoni käsitsemise reeglid
Mobiiltelefoni signaali segamine
Tõendite pakendamine, transport ja säilitamine
Pildi eemaldamine Tööriistad mobiilseadmete kettakujutise loomiseks Telefoni lukust möödahiilimine Möödasõit Androidi telefoni lukustusparoolist möödaminek iPhone'i koodist Lubage USB-silumise eemaldamise tehnikad platvormid
Tööriistad mobiilseadmete kettakujutiste loomiseks
Mööda telefoni lukust
Mööduge Androidi telefoniluku paroolist
iPhone'i koodist möödaviimine
USB-silumise lubamine
Platvormi kaitse eemaldamise tehnikad
Teabe kogumine ja analüüs Tõendite kogumine mobiilseadmetest Andmete kogumise meetodid Mobiilsidevõrk Abonendi tuvastamise moodul (SIM) Loogiline kogumine andmed Füüsiline andmete kogumine Homogeensete andmekogumite eraldamine SQLite andmebaasi ekstraktimine Tööriistad andmete kogumiseks mobiilseadmetest
Tõendite kogumine mobiilseadmetest
Andmete kogumise meetodid
Mobiilsidevõrk
Abonendi identiteedimoodul (SIM)
Loogiline andmete kogumine
Füüsiliste andmete kogumine
Homogeensete andmemassiivide eraldamine
SQLite'i andmebaasi ekstraktimine
Mobiilsete andmete kogumise tööriistad
Looge uurimisaruande mobiilseadme uurimisaruande mall
Mobiilseadmete uurimise aruande mall
Mobiilseadme pildi kohtuekspertiisi analüüs ja kustutatud failide otsimine autopsia abil
Android-seadme uurimine Andrilleri abil
14. moodul. Uurimisprotokolli koostamine (2 ak. h.)
Uurimisaruande koostamine Kohtuekspertiisi aruanne Hea aruandemalli olulised aspektid kohtuekspertiisi aruanne Aruannete klassifikatsioon Aruande koostamise juhised Kirjutamisnõuanded aruanne
Kohtuekspertiisi aruanne
Hea aruande olulised aspektid
Kohtuekspertiisi aruande mall
Aruande klassifikatsioon
Aruande kirjutamise juhend
Näpunäiteid aruande kirjutamiseks
Eksperttunnistaja ütlused Kes on „eksperttunnistaja”? Eksperdi tunnistaja tehnilise tunnistaja ja eksperttunnistaja roll Dewbert Freie standardsed headuse reeglid eksperttunnistaja CV tähtsus Eksperttunnistaja kutsekoodeks Ettevalmistus tunnistama tunnistus
Kes on "eksperttunnistaja"?
Eksperttunnistaja roll
Tehniline tunnistaja ja eksperttunnistaja
Deuberti standard
Freie standard
Hea asjatundliku tunnistaja reeglid
CV tähtsus
Eksperditunnistajate kutsekoodeks
Ettevalmistus tunnistama
Tunnistus kohtus Üldprotseduurid kohtumenetluses Üldine eetika tunnistamisel Graafika tähtsus ütlustes Kuidas vältida probleeme ütlused Ütlused otsesel läbivaatusel Tunnistus ristküsitlusel Materjalides sisalduvad ütlused asjadest
Üldine kohtumenetluse kord
Üldine eetika tunnistamisel
Graafika tähendus lugemisel
Kuidas näiduprobleeme vältida
Tunnistamine otsese läbivaatuse ajal
Ristküsitluse ajal tunnistamine
Kohtutoimikule lisatud ütlused
Töö meediaga
Juhtumi uurimise akti koostamine
15. moodul. Lõpukatse (4 ak. h.)