Дополнительная информация
Модуль 1 — Компьютерная криминалистика в современном миреРазбор кейсов — примеры расследования компьютерных преступленийХарактеристики цифровых уликРоль цифровых уликИсточники потенциальных уликГотовность к криминалистическому расследованиюМодуль 2 — Процесс расследования компьютерных инцидентовФорма сбора вещественных доказательствСбор и сохранение электронных уликРабота с включенными компьютерамиРабота с выключенными компьютерамиРабота с сетевым компьютеромРабота с открытыми файлами и файлами автозагрузкиПроцедура выключения операционной системыРабота с рабочими станциями и серверамиРабота с портативными компьютерамиРабота с включенными портативными компьютерамиМетодология расследования: защита уликУправление уликамиПорядок передачи и хранения уликУпаковка и транспортировка электронных уликНумерация вещественных доказательствХранение электронных вещественных доказательствМетодология расследования: сбор данныхРуководство по сбору данныхДублирование данныхПроверка целостности образаВосстановление данныхМетодология расследования: анализ данныхПроцесс анализа данныхПрограммное обеспечение для анализа данныхЭтап после расследованияМетодология расследования: экспертное свидетельствованиеПрофессиональное поведениеМодуль 3 — Memory ForensicsЧто содержится в оперативной памятиПреимущества анализа оперативной памяти перед анализом жесткого дискаИзвлечение памяти WindowsХранение дампов оперативной памяти (сравнение форматов)Специфика pagefile.sys и swapfile.sysОписание стандартных процесовДействия с подозрительными DLL и EXEДругие типы объектов в оперативной памятиМодуль 4 — Жесткие диски и файловые системыОбзор жестких дисковЖесткие диски (HDD)Твердотельные накопители (SSD)Физическая структура жесткого дискаЛогическая структура жесткого дискаТипы интерфейсов жестких дисковИнтерфейсы жестких дисковТрекиСекторыКластерыПлохие секторыБит, байт и полубайтАдресация данных на жестком дискеПлотность данных на жестком дискеРасчет емкости дискаИзмерение производительности жесткого дискаРазделы диска и процесс загрузкиДисковые разделыБлок параметров BIOSГлавная загрузочная запись (MBR)Глобальный уникальный идентификатор (GUID)Что такое процесс загрузки?Основные системные файлы WindowsПроцесс загрузки WindowsИдентификация таблицы разделов GUIDАнализ заголовка и записей GPTАртефакты GPTПроцесс загрузки LinuxФайловые системыОбщие сведения о файловых системахТипы файловых системФайловые системы WindowsФайловые системы LinuxВиртуальная файловая система (VFS)Система хранения RAIDУровни RAIDЗащищенные области хоста (HPA)Анализ файловой системыВыделение однородных массивов данныхАнализ файла изображения (JPEG, BMP, шестнадцатеричный вид форматов файлов изображений)Анализ файла PDFАнализ файлов WordАнализ файлов PPTАнализ файлов ExcelШестнадцатеричный вид популярных форматов файлов (видео, аудио)Анализ файловой системыМодуль 5 — Сбор и дублирование данныхКонцепции сбора и дублирования данных, типы систем сбора данныхПолучение данных в реальном времениПорядок волатильностиТипичные ошибки при сборе изменчивых данныхМетодология сбора изменчивых данныхПолучение статических данныхСтатические данныеЭмпирические правилаДубликаты образовПобитовая копия и резервная копияПроблемы с копированием данныхШаги по сбору и дублированию данныхПодготовка формы передачи уликВключение защиты от записи на носителях-уликахПодготовка целевого носителя: руководство NIST SP 800-88Определение формата сбора данныхМетоды сбора данныхОпределение лучшего метода сбора данныхВыбор инструмента для сбора данныхСбор данных с RAID-дисковУдаленное получение данныхОшибки при сборе данныхПланирование нештатных ситуацийРекомендации по сбору данныхМодуль 6 — Техники, затрудняющие криминалистическую экспертизуЧто такое антифорензика и ее целиТехники антифорензикиУдаление данных / файлов, что происходит при удалении файла в WindowsВосстановление файловСредства восстановления файлов в WindowsВосстановление файлов в LinuxВосстановление удаленных разделовЗащита паролемТипы паролейРабота взломщика паролейТехники взлома паролейПароли по умолчаниюИспользование радужных таблиц для взлома хэшейАутентификация MicrosoftВзлом системных паролейОбход паролей BIOSИнструменты для сброса пароля администратора, паролей приложений, системных паролейСтеганография и стеганализСкрытие данных в структурах файловой системыОбфускация следовСтирание артефактовПерезапись данных и метаданныхШифрованиеШифрующая файловая система (EFS)Инструменты восстановления данных EFSШифрованные сетевые протоколыУпаковщикиРуткиты, шаги для их обнаруженияМинимизация следовЭксплуатация ошибок криминалистических инструментовДетектирование криминалистических инструментовМеры противодействия антифорензикеИнструменты, затрудняющие криминалистическую экспертизуМодуль 7 — Криминалистическая экспертиза операционных системВведение в криминалистическую экспертизу ОСКриминалистическая экспертиза WindowsМетодология криминалистической экспертизы WindowsСбор энергозависимой информации (системное время, зарегистрированные пользователи, открытые файлы, информация о сети, сетевые подключения, информация о процессах, сопоставление процессов и портов, память процесса, состояние сети, файлы очереди печати и др.)Сбор энергонезависимой информации (файловые системы, настройки реестра, идентификаторы безопасности (SID), журналы событий, файл базы данных ESE, подключенные устройства, файлы гибернации, файл подкачки, скрытые альтернативные потоки и др.)Анализ памяти Windows (виртуальные жесткие диски (VHD), дамп памяти, механизм создания процесса, анализ содержимого памяти, анализ памяти процесса, извлечение образа процесса, сбор содержимого из памяти процесса)Анализ реестра Windows (устройство реестра, структура реестра, реестр как файл журнала, анализ реестра, системная информация, информация о часовом поясе, общие папки, беспроводные идентификаторы SSID, служба теневого копирования томов, загрузка системы, вход пользователя, активность пользователя, ключи реестра автозагрузки, USB-устройства, монтируемые устройства, отслеживание активности пользователей, ключи UserAssist)Кэш, Cookie и анализ истории (Mozilla Firefox, Google Chrome, Microsoft Edge и Internet Explorer)Анализ файлов Windows (точки восстановления системы, Prefetch-файлы, ярлыки, файлы изображений)Исследование метаданных (типы метаданных, метаданные в разных файловых системах, метаданные в файлах PDF, метаданные в документах Word, инструменты анализа метаданных)Журналы (типы событий входа в систему, формат файла журнала событий, организация записей событий, структура ELF_LOGFILE_HEADER, структура записи журнала, журналы событий Windows 10, криминалистический анализ журналов событий)Инструменты криминалистического анализа WindowsКриминалистическая экспертиза LINUXКоманды оболочкиФайлы журнала LinuxСбор энергозависимых данныхСбор энергонезависимых данныхОбласть подкачкиМодуль 8 — Сетевые расследования, логи и дампы сетевого трафикаВведение в сетевую криминалистику (анализ по журналам и в реальном времени, сетевые уязвимости, сетевые атаки, где искать доказательства)Основные понятия ведения журналов (лог-файлы как доказательство, законы и нормативные акты, законность использования журналов, записи о регулярно проводимой деятельности в качестве доказательства)Корреляция событийТипы корреляции событийПререквизиты для корреляции событийПодходы к корреляции событийОбеспечение точности лог-файловЗаписывать всеСохранение времениЦель синхронизации времени компьютеровПротокол сетевого времени (NTP)Использование нескольких датчиковУправления журналамиФункции инфраструктуры управления журналамиПроблемы с управлением журналамиРешение задач управления журналамиЦентрализованное ведение журналаПротокол SyslogОбеспечение целостности системыКонтроль доступа к журналамЦифровая подпись, шифрование и контрольные суммыАнализ журналовМеханизм сетевого криминалистического анализаСредства сбора и анализа журналовАнализ журналов маршрутизатораСбор информации из таблицы ARPАнализ журналов брандмауэра, IDS, Honeypot, DHCP, ODBCИсследование сетевого трафикаСбор улик посредством сниффингаАнализаторы сетевых пакетовДокументирование сетевых уликРеконструкция уликМодуль 9 — Расследование зловредного программного обеспеченияКонцепции и типы вредоносного ПОРазличные способы проникновения вредоносного ПО в системуОбычные методы, используемые злоумышленниками для распространения вредоносного ПО в интернетеКомпоненты вредоносного ПОКриминалистическая экспертиза вредоносных программЗачем анализировать вредоносное ПОИдентификация и извлечение вредоносных программЛаборатория для анализа вредоносных программПодготовка тестового стенда для анализа вредоносных программИнструменты для анализа вредоносных программОбщие правила анализа вредоносных программОрганизационные вопросы анализа вредоносных программТипы анализа вредоносных программСтатический анализСтатический анализ вредоносных программ: отпечатки файловОнлайн-службы анализа вредоносных программЛокальное и сетевое сканирование вредоносных программВыполнение поиска строкОпределение методов упаковки / обфускацииПоиск информации о переносимых исполняемых файлах (PE)Определение зависимостей файловДизассемблирование вредоносных программСредства анализа вредоносных программДинамический анализМониторинг процессов, файлов и папок, реестра, активности сети, портов, DNS, вызовов API, драйверов устройств, программ автозагрузки, служб WindowsАнализ вредоносных документовПроблемы анализа вредоносных программМодуль 10 — Подготовка отчета о расследованииПодготовка отчета об исследованииКлассификация отчетовРуководство по написанию отчетаРекомендации по написанию отчетаПоказания эксперта-свидетеляКто такой эксперт-свидетель и его рольТехнический свидетель и эксперт-свидетельСвидетельство в судеОбщий порядок судебных разбирательствОбщая этика при свидетельствеЗначение графики в показанияхКак избежать проблем с показаниямиСвидетельствование во время прямой экспертизыСвидетельствование во время перекрестного допросаПоказания, приобщенные к материалам делаРабота со СМИ