727

Curs Advanced Digital Forensics

Durata: 5 zile/40 ore

Pretul include:

Suportul de curs in format electronic, masa de pranz, coffee break, diploma interna ProManagement.

Agenda curs:

Ziua 1.

Modul 1 - Mașini virtuale cu capabilități specifice (SIFT Workstation).

Lab 1 - Configurare, șabloane, programe instalate, utilitare de bază pentru mașina virtuală SIFT Workstation.

Modul 2 - Metodologia de răspuns la incidente: pregătirea, identificarea, analiza, eradicarea, recuperarea, cunoașterea. Intelligence în domeniul amenințărilor informatice: înțelegerea conceptului Kill Chain, ciclul de viață al echipei de răspuns la incidente, înțelegerea în profunzime a investigațiilor și a răspunsului la incidente informatice, activități specifice la nivel de întreprindere.

Lab 2 - Pregătirea, identificarea, analiza, eradicarea, recuperarea, cunoașterea incidentelor.

Modul 3 - Metodologia de investigare a intruziunilor digitale: probe volatile, nivel de volatilitate, ordinea proceselor în răspunsul la incidente, urmărirea activității hackerilor pas cu pas, recuperarea datelor.

Lab 3 - Investigarea intruziunilor digitale. Analiza Windows XP Restore Point.

Ziua 2.

Modul 4 - Analiza sistemelor de răspuns la incidente: montarea fizică și logică a sistemelor, accesarea și analiza acestora de la distanță, analiză scalabilă, analiza de memorie de la distanță.

Lab 4 - Analiza sistemelor de răspuns la incidente local, cât și la distanță.

Modul 5 - Răspunsul la incidente în Windows, în timp real: instrumente și utilitare, colectarea de date volatile, comparație între date importante colectate prin diverse metode, console securizate de comenzi pentru Windows, automatizarea colectării de date la nivelul întreprinderii, utilizarea de la distanță a consolei de comenzi, răspunsul la incidente prin intermediul WMIC7, răspuns în timp real utilizând Triage-IR și FGET, identificarea modalităților prin care malware-ul își asigură persistența.

Lab 5 - Incidente în Windows

Modul 6 - Achiziții de memorie: achiziții ale memoriei de sistem pentru Windows 32-bit și 64-bit, extragerea și conversia fișierelor pagefile.sys și hyberfil.sys, achiziția de memorie de la mașini virtuale.

Lab 6 - Achiziții de memorie în Windows. Investigații în profunzime: analize bazate pe sistemele de fișiere, cunoașterea setului de utilitare Sleuthkit, analiza de partiții sau volume de date, analiza la nivel de date, stream-based data carving, file-based data carving, analiza sistemelor de fișiere NTFS și FAT.

 Ziua 3.

Modul 7 - Procesul de analiză a memoriei: identificarea proceselor malițioase, analiza DLL-urilor și a Handle-urilor proceselor, analiza proceselor la nivelul rețelei, depistarea probelor și a codului injectat, depistarea urmelor unui program de tip rootkit, achiziția proceselor și a driverelor care prezintă suspiciuni.

Lab 7 - Analiza memoriei.

Modul 8 - Examinări și investigații a memoriei: investigații în timp real a memoriei, tehnici de analiză a memoriei cu ajutorul utilitarului Redline, analiza avansată de memorie cu ajutorul utilitarului Volatility, examinarea regiștrilor, memory timelining, parsarea structurilor de tip event log rezidente în memorie.

Lab 8 - Investigația memoriei. Analiza back-up-urilor de tipul shadow volume realizate în Windows 7/8, Server 2008/2012.

 Ziua 4.

Modul 9 - Noțiuni de bază privind conceptul de timeline: beneficii, aspecte importante privind conceptul de timeline, depistarea momentului de început al incidentelor, indicii contextuale în timeline, procesul de analiză a timeline.

Lab 9 - Crearea și analiza timeline-ului la nivelul sistemelor de fișiere: diferențe între modalitățile de înregistrare a metadatelor temporale (MAC8) în sistemele de fișiere NTFS și FAT, reguli de înregistrare a metadatelor temporale în Windows, crearea timeline-ului la nivel de sistem de fișiere cu ajutorul utilitarelor Sleuthkit și fls. Cunoașterea avansată a utilitarului log2timeline.

Modul 10 - Etapele depistării unui malware necunoscut: data reduction, data carving, căutare după indicatori de compromitere, analiză automată a memoriei, probe de persistență, examinarea supertimeline, packing/ entropy/ density check, loguri de sistem, analiza manuală a memoriei, metode automate de căutare a unui malware, anomalii în tabela de fișiere, anomalii în timeline.

Lab 10 - Depistarea unui malware necunoscut.

Ziua 5.

Modul 11 - Metodologii de detecție a tehnicilor anti-forensics: fișiere șterse, înregistrări șterse din baza de date Windows Registry, suprascrierea fișierelor, curățarea istoricului web, utilitare de ștergere a datelor confidențiale, modificarea metadatelor temporale.

Lab 11 - Aplicarea tehnicilor anti-forensics.

 Modul 12 - Metodologii de analiză și rezolvare a cazurilor reale, precum: programe malițioase, intruziuni, atacuri spear phishing, SQL injection, inițiatori APT, detectarea exfiltrării datelor.

Lab 12 - Utilizarea metodologiei SQL injection.

Diploma obtinuta: Certificat Pro Management