Onderzoek naar hackerincidenten. Grondbeginselen van forensisch onderzoek - cursus 179.990 wrijven. van Specialist, opleiding, Datum 20 januari 2024.
Gemengde Berichten / / December 02, 2023
Het cursusprogramma legt de basis van forensisch onderzoek - de toegepaste wetenschap van het oplossen van cybercriminaliteit, het onderzoeken en analyseren van digitaal bewijsmateriaal. De cursus over het onderzoeken van hackerincidenten biedt duidelijke richtlijnen en aanwijzingen voor de ontwikkeling ervan. In deze cursus leert u hoe u met succes de gevolgen van computercriminaliteit kunt identificeren, onderzoeken en elimineren. U leert de procedure om te identificeren of een hacker een systeem is binnengedrongen en u krijgt aanbevelingen voor het monitoren van de acties van een potentiële indringer.
De cursus is zo ontworpen dat nieuwe theoretische kennis noodzakelijkerwijs wordt ondersteund door de praktijk die zo dicht mogelijk bij echte gevallen ligt. Je versterkt de theorie door laboratoriumwerk uit te voeren (er zijn er in totaal 39), inclusief praktijk onderzoek naar cybercriminaliteit met behulp van e-mail-, mobiele en cloudplatforms Diensten.
Deze cursus is ideaal voor jou als je:
De cursus behandelt ook noodherstel van systemen. .
Je leert:
digitaal bewijsmateriaal zoeken, verkrijgen en analyseren;
onderzoeken van incidenten als gevolg van hacktechnieken;
methoden en technieken van cyberforensisch onderzoek toepassen;
de verzamelde gegevens interpreteren in het kader van een onderzoek naar computerincidenten.
Module 1. Computerforensisch onderzoek in de moderne wereld (2 ac. H.)
Wat is computerforensisch onderzoek
Toepassing van computerforensisch onderzoek
Soorten computercriminaliteit
Casestudy. Voorbeelden van onderzoeken naar computercriminaliteit
Moeilijkheden bij forensisch onderzoek
Onderzoek naar cybercriminaliteit
Civiel onderzoek
Misdaadonderzoek
Administratief onderzoek
Casestudy. Voorbeelden van onderzoekstypen
Regels voor forensisch medisch onderzoek
Onderzoek naar misdaden gepleegd door georganiseerde criminele groepen (Enterprise Theory of Investigation)
Digitaal bewijs
Wat is digitaal bewijsmateriaal
Soorten digitaal bewijsmateriaal
Kenmerken van digitaal bewijsmateriaal
De rol van digitaal bewijsmateriaal
Bronnen van potentieel bewijs
Regels voor het verzamelen van bewijsmateriaal
Vereiste voor beste bewijs
Code van bewijs
Afgeleide bewijzen
Wetenschappelijke Werkgroep Digitaal Bewijs (SWGDE)
Voorbereiding op forensisch onderzoek
Computerforensisch onderzoek als onderdeel van een incidentresponsplan
De behoefte aan computerforensisch onderzoek
Rollen en verantwoordelijkheden van een forensisch onderzoeker
Problemen met forensisch onderzoek
Juridische kwesties
Priveproblemen
Ethische regels
Computer Forensische bronnen
Het leren van de basisprincipes van onderzoek naar computercriminaliteit
Het laboratorium voorbereiden op praktijkexperimenten
module2. Het proces van het onderzoeken van computerincidenten (2 ac. H.)
Het belang van het onderzoeksproces
Fasen van het onderzoeksproces
Vooronderzoeksfase Voorbereiding van het forensisch laboratorium Het samenstellen van een onderzoeksteam Herziening van beleid en wetgeving. Opzetten van processen voor kwaliteitsborging. Begrijpen van normen voor gegevensvernietiging. Beoordeling risico
Forensische laboratoriumvoorbereiding
Opbouw van het onderzoeksteam
Herziening van beleid en wetten
Kwaliteitsprocessen creëren
Inleiding tot normen voor gegevensvernietiging
Risicobeoordeling
Onderzoeksfase Onderzoeksproces Onderzoeksmethodologie: snelle reactie Onderzoeksmethodologie: huiszoeking en inbeslagneming Gedrag Voorlopige interviews Zoek- en inbeslagnemingsplanning Zoek- en inbeslagnemingsbevelen Gezondheids- en veiligheidskwesties Beveiliging en evaluatie van de plaats delict: controlelijst
Onderzoeksproces
Onderzoeksmethodologie: snelle reactie
Onderzoeksmethodologie: huiszoeking en inbeslagneming
Het voeren van voorgesprekken
Planning voor inspectie en inbeslagname
Huiszoekings- en beslagleggingsbevel
Gezondheids- en veiligheidskwesties
Verdediging en evaluatie van plaats delict: checklist
Onderzoeksmethodologie: verzamelen van bewijsmateriaal Verzamelen van fysiek bewijsmateriaal Formulier voor het verzamelen van bewijsmateriaal Verzamelen en bewaren van elektronisch bewijsmateriaal Werkzaamheden met computers ingeschakeld Werken met computers uitgeschakeld Werken met een netwerkcomputer Werken met geopende bestanden en opstartbestanden Procedure het besturingssysteem uitschakelen Werken met werkstations en servers Werken met laptops Werken met laptops ingeschakeld computers
Verzameling van bewijsmateriaal
Formulier voor het verzamelen van bewijsmateriaal
Verzamelen en bewaren van elektronisch bewijsmateriaal
Werken met computers ingeschakeld
Werken met uitgeschakelde computers
Werken met een netwerkcomputer
Werken met geopende bestanden en opstartbestanden
Procedure voor het afsluiten van het besturingssysteem
Werken met werkstations en servers
Werken met laptopcomputers
Werken met laptops ingeschakeld
Onderzoeksmethodologie: bescherming van bewijsmateriaal Beheer van bewijsmateriaal Procedure voor overdracht en opslag van bewijsmateriaal Verpakken en transport van elektronisch bewijsmateriaal. Nummering van fysiek bewijsmateriaal. Opslag van elektronisch bewijsmateriaal bewijs
Bewijsbeheer
Procedure voor overdracht en opslag van bewijsmateriaal
Verpakking en transport van elektronisch bewijsmateriaal
Nummering van fysiek bewijsmateriaal
Opslag van elektronisch bewijsmateriaal
Onderzoeksmethodologie: Gegevensverzameling Gids voor gegevensverzameling Gegevensduplicatie Beeldintegriteitscontrole Gegevensherstel
Gids voor gegevensverzameling
Duplicatie van gegevens
Beeldintegriteit controleren
Data herstel
Onderzoeksmethodologie: Data-analyse Data-analyseproces Data-analysesoftware
Gegevensanalyseproces
Gegevensanalysesoftware
Fase na het onderzoek
Onderzoeksmethodologie: evaluatie van bewijsmateriaal Het evalueren van het gevonden bewijsmateriaal Het opnemen van bewijsmateriaal in de zaak Het verwerken van de evaluatie locaties Gegevens verzamelen van sociale netwerken Aanbevelingen voor het onderzoeken van sociale netwerken Aanbevelingen voor evaluatie van bewijsmateriaal
Het evalueren van het gevonden bewijsmateriaal
Bewijs toevoegen aan de zaak
Locatieschatting verwerken
Verzameling van gegevens van sociale netwerken
Onderzoeksrichtlijnen voor sociale media
Richtlijnen voor het evalueren van bewijsmateriaal
Onderzoeksmethodiek: documentatie en rapportage Documentatie voor elke fase van het onderzoek. Het verzamelen en ordenen van informatie. Het schrijven van een onderzoeksrapport
Documentatie voor elke fase van het onderzoek
Informatie verzamelen en ordenen
Een onderzoeksrapport schrijven
Onderzoeksmethodiek: deskundigenverklaring Optreden als getuige-deskundige Afsluiting van de zaak
Optreden als getuige-deskundige
Het sluiten van de zaak
Professioneel gedrag
Studie en praktische toepassing van softwaretools die nodig zijn in het proces van forensisch onderzoek
module3. Harde schijven en bestandssystemen (4 ac. H.)
Overzicht van harde schijven Harde schijven (HDD) Solid State Drives (SSD) Fysieke structuur van een harde schijf Logische structuur van een harde schijf Typen harde schijfinterfaces Harde schijfinterfaces schijven Tracks Sectoren Clusters Slechte sectoren Bits, bytes en nibbles Gegevens op een harde schijf adresseren Gegevensdichtheid op een harde schijf Schijfcapaciteit berekenen De prestaties van de harde schijf meten schijf
Harde schijven (HDD)
Solid State-schijven (SSD)
Fysieke structuur van een harde schijf
Logische structuur van een harde schijf
Soorten harde schijf-interfaces
Interfaces voor harde schijven
Sporen
Sectoren
Clusters
Slechte sectoren
Bit, byte en knabbel
Gegevens op een harde schijf adresseren
Gegevensdichtheid harde schijf
Berekening van de schijfcapaciteit
Prestatiemeting van harde schijven
Schijfpartities en het opstartproces Schijfpartities BIOS-parameterblok Master Boot Record (MBR) Globally Unique Identifier (GUID) Wat is het opstartproces? Windows-kernsysteembestanden Windows-opstartproces GUID Partitietabelidentificatie GPT-header- en invoeranalyse GPT-artefacten Macintosh-opstartproces Linux-opstartproces
Schijfpartities
BIOS-parameterblok
Hoofdopstartrecord (MBR)
Globaal unieke identificatie (GUID)
Wat is het downloadproces?
Windows-basissysteembestanden
Windows-opstartproces
GUID Partitietabelidentificatie
Analyse van GPT-header en records
GPT-artefacten
Opstartproces van Macintosh
Linux-opstartproces
Bestandssystemen Bestandssystemen begrijpen Typen bestandssystemen Windows-bestandssystemen Linux-bestandssystemen Mac OS X-bestandssystemen Bestandssysteem Oracle Solaris 11: ZFS CD-ROM/DVD-bestandssysteem Compact Disc File System (CDFS) Virtueel bestandssysteem (VFS) Veelzijdig schijfbestandssysteem (UDF)
Algemene informatie over bestandssystemen
Typen bestandssysteem
Windows-bestandssystemen
Linux-bestandssystemen
Mac OS X-bestandssystemen
Oracle Solaris 11 Bestandssysteem: ZFS
CD-ROM/DVD-bestandssysteem
Compact Disc-bestandssysteem (CDFS)
Virtueel bestandssysteem (VFS)
Universeel schijfbestandssysteem (UDF)
Opslagsysteem RAID RAID-niveaus Host Protected Areas (HPA's)
RAID-niveaus
Host beschermde gebieden (HPA's)
Analyse van bestandssystemen Isolatie van homogene datasets Analyse van beeldbestanden (JPEG, BMP, hexadecimale beeldbestandsformaten) Analyse van PDF-bestanden Analyse van word-bestanden Word-analyse PPT-bestanden Excel-bestandsanalyse Hexadecimale weergave van populaire bestandsformaten (video, audio) Bestandssysteemanalyse met behulp van Autopsy Bestandssysteemanalyse met The Sleuth Kit (TSK)
Isolatie van homogene data-arrays
Analyse van beeldbestanden (JPEG, BMP, hexadecimale beeldbestandsformaten)
Analyse van PDF-bestanden
Analyse van Word-bestanden
PPT-bestandsanalyse
Analyse van Excel-bestanden
Hexadecimale weergave van populaire bestandsformaten (video, audio)
Bestandssysteemanalyse met behulp van autopsie
Bestandssysteemanalyse met behulp van de Sleuth Kit (TSK)
Herstellen van verwijderde bestanden
Bestandssysteemanalyse
module4. Verzamelen en dupliceren van gegevens (2 ac. H.)
Concepten voor gegevensverzameling en -replicatie Overzicht van gegevensverzameling Soorten gegevensverzamelingssystemen
Algemene informatie over gegevensverzameling Soorten gegevensverzamelingssystemen
Soorten data-acquisitiesystemen
Verkrijgen van real-time gegevens Volatiliteitsvolgorde Typische fouten bij het verzamelen van vluchtige gegevens Methodologie voor het verzamelen van vluchtige gegevens
Volatiliteitsvolgorde
Veelgemaakte fouten bij het verzamelen van vluchtige gegevens
Methodologie voor het verzamelen van variabele gegevens
Statische gegevens verzamelen Statische gegevens Vuistregels Afbeeldingen dupliceren Bitkopieer- en back-upgegevens Kopieerproblemen Verzamel- en dupliceerstappen Gegevens voorbereiden van het formulier voor het indienen van bewijsmateriaal Schrijfbeveiliging op bewijsmedia inschakelen Het doelmedium voorbereiden: NIST SP 800-88-handleiding Het bepalen van de methoden voor het verzamelen van gegevens gegevensverzameling Bepalen van de beste methode voor gegevensverzameling Een hulpmiddel voor gegevensverzameling selecteren Gegevens verzamelen van RAID-schijven Gegevensverzameling op afstand Fouten in de gegevensverzameling Planning noodsituaties
Statische gegevens
Vuistregels
Dubbele afbeeldingen
Bitkopie en back-up
Problemen met het kopiëren van gegevens
Stappen voor het verzamelen en dupliceren van gegevens Het formulier voor overdracht van bewijsmateriaal voorbereiden Schrijfbeveiliging op bewijsmateriaal inschakelen Het doel voorbereiden Media: NIST SP 800-88 Gids Het formaat voor gegevensverzameling bepalen Methoden voor gegevensverzameling De beste methode voor gegevensverzameling bepalen Selecteren hulpmiddel voor gegevensverzameling Gegevensverzameling vanaf RAID-schijven Gegevensverzameling op afstand Fouten bij het verzamelen van gegevens Noodplanning situaties
Het bewijsformulier voorbereiden
Schrijfbeveiliging inschakelen op bewijsmedia
Doelmedia voorbereiden: NIST SP 800-88-handleiding
Het definiëren van het gegevensverzamelingsformaat
Methoden voor gegevensverzameling
Bepalen van de beste methode voor gegevensverzameling
Een hulpmiddel voor gegevensverzameling selecteren
Gegevens verzamelen van RAID-schijven
Ophalen van gegevens op afstand
Fouten bij het verzamelen van gegevens
Noodplanning
Richtlijnen voor gegevensverzameling
Software gebruiken om gegevens van harde schijven te extraheren
module5. Technieken die forensisch onderzoek bemoeilijken (2 ac. H.)
Wat is antiforensisch onderzoek? Doelen van antiforensisch onderzoek
Doelen van antiforensisch onderzoek
Anti-forensische technieken Gegevens/bestanden verwijderen Wat gebeurt er als u een bestand verwijdert in Windows? Windows Prullenbak Waar de Prullenbak is opgeslagen in FAT- en NTFS-systemen Hoe de Prullenbak werkt Corruptie van het INFO2-bestand Corruptie van bestanden in de Prullenbak Schade aan de Prullenbak-map Herstel bestanden Hulpprogramma's voor bestandsherstel in Windows Hulpprogramma's voor bestandsherstel in MAC OS X Bestandsherstel in Linux Verwijderde partities herstellen Wachtwoordbeveiliging Wachtwoordtypen Hoe een wachtwoordkraker werkt Technieken voor het kraken van wachtwoorden Standaardwachtwoorden Rainbow Tables gebruiken om hash te kraken Microsoft-authenticatie Systeemwachtwoorden kraken BIOS-wachtwoorden omzeilen Tools voor het opnieuw instellen van beheerderswachtwoorden Tools voor het kraken van applicatiewachtwoorden Tools voor het kraken van systeemwachtwoorden Steganografie en steganalyse Gegevens in structuren verbergen bestandssysteem Verduistering van sporen Artefacten wissen Gegevens en metagegevens herschrijven Encryptie Bestandssysteem versleutelen (EFS) Tools voor gegevensherstel EFS Encrypted netwerkprotocollen Packers Rootkits Rootkits detecteren Stappen voor het detecteren van rootkits Minimaliseren van sporen Misbruik maken van bugs in forensische tools Detectie forensische hulpmiddelen
Gegevens/bestanden verwijderen Wat gebeurt er als u een bestand verwijdert in Windows?
Wat gebeurt er als u een bestand in Windows verwijdert?
Windows Prullenbak Waar de Prullenbak is opgeslagen in FAT- en NTFS-systemen Hoe de Prullenbak werkt Beschadiging van het INFO2-bestand Beschadiging van bestanden in de Prullenbak Corruptie van de Prullenbak-map
Prullenbakopslaglocatie in FAT- en NTFS-systemen
Hoe het winkelwagentje werkt
INFO2-bestandscorruptie
Schade aan bestanden in de Prullenbak
Corruptie van de Prullenbak-map
Bestandsherstel Hulpmiddelen voor bestandsherstel in Windows Hulpmiddelen voor bestandsherstel in MAC OS X Bestandsherstel in Linux Herstellen van verwijderde partities
Hulpprogramma's voor bestandsherstel in Windows
Hulpprogramma's voor bestandsherstel in MAC OS X
Bestandsherstel onder Linux
Herstellen van verwijderde partities
Wachtwoordbeveiliging Soorten wachtwoorden Hoe een wachtwoordkraker werkt Technieken voor het kraken van wachtwoorden Standaardwachtwoorden Regenboogtabellen gebruiken om hashes te kraken Microsoft-authenticatie Systeemwachtwoorden hacken BIOS-wachtwoorden omzeilen Tools voor het opnieuw instellen van het beheerderswachtwoord Tools voor het kraken van applicatiewachtwoorden Tools voor het kraken van systeemwachtwoorden wachtwoorden
Wachtwoordtypen
Het werk van een wachtwoordkraker
Technieken voor het kraken van wachtwoorden
Standaardwachtwoorden
Regenboogtafels gebruiken om hashes te kraken
Microsoft-verificatie
Systeemwachtwoorden hacken
Omzeil BIOS-wachtwoorden
Hulpmiddelen om het beheerderswachtwoord opnieuw in te stellen
Hulpmiddelen voor het kraken van applicatiewachtwoorden
Hulpmiddelen voor het kraken van systeemwachtwoorden
Steganografie en steganalyse
Gegevens verbergen in bestandssysteemstructuren
Verduistering van sporen
Het wissen van artefacten
Gegevens en metadata herschrijven
Encryptie Encryptiebestandssysteem (EFS) EFS Data Recovery Tools
Bestandssysteem coderen (EFS)
EFS-hulpmiddelen voor gegevensherstel
Gecodeerde netwerkprotocollen
Verpakkers
Rootkits Rootkits detecteren Stappen om rootkits te detecteren
Rootkit-detectie
Stappen om rootkits te detecteren
Minimaliseren van voetafdrukken
Misbruik maken van fouten in forensische tools
Detectie van forensische hulpmiddelen
Tegenmaatregelen tegen anti-forensisch onderzoek
Hulpmiddelen die forensisch onderzoek bemoeilijken
Software gebruiken om applicatiewachtwoorden te kraken
Steganografische detectie
module6. Forensisch onderzoek van besturingssystemen (4 ac. H.)
Inleiding tot OS Forensisch onderzoek
Forensische analyse WINDOWS
Windows Forensics Methodologie Verzamelen van vluchtige informatie Systeemtijd Geregistreerde gebruikers Open bestanden Netwerk Informatienetwerk verbindingen Procesinformatie Proces- en poorttoewijzingen Procesgeheugen Netwerkstatus Spoolbestanden afdrukken Andere belangrijke informatie Niet-vluchtige informatie verzamelen Bestandssystemen Registerinstellingen Beveiligingsidentificaties (SID's) Gebeurtenislogboeken ESE-databasebestand Verbonden apparaten Slack Space Virtueel geheugen Slaapstandbestanden Bestand paging Zoekindex Vind verborgen partities Verborgen alternatieve streams Andere niet-vluchtige informatie Windows-geheugenanalyse Virtuele harde schijven (VHD) Geheugendump Structuur van EProcess Mechanisme voor het maken van processen Geheugeninhoud analyseren Procesgeheugen analyseren Een procesimage extraheren Inhoud uit het procesgeheugen verzamelen Het Windows-register analyseren Register Apparaat Registerstructuur Register als logbestand Registeranalyse Systeeminformatie Tijdzone-informatie Openbare mappen Draadloze SSID's Service volume schaduwkopie Systeem opstarten Gebruikersaanmelding Gebruikersactiviteit Opstartregistersleutels USB-apparaten Gekoppelde apparaten Activiteiten volgen gebruikers UserAssist-sleutels MRU-lijsten Verbinding maken met andere systemen Herstelpuntanalyse Opstartlocaties bepalen Cache-, Cookie- en geschiedenisanalyse Mozilla Firefox Google Chrome Microsoft Edge en Internet Explorer Windows Bestandsanalyse Systeemherstelpunten Bestanden vooraf ophalen Snelkoppelingen Afbeeldingsbestanden Metagegevensonderzoek Wat zijn metagegevenstypen metadata Metadata in verschillende bestandssystemen Metadata in PDF-bestanden Metadata in Word-documenten Metadata-analysetools Logboeken Wat zijn gebeurtenissen Soorten inloggebeurtenissen systeem Bestandsformaat gebeurtenislogboek Organisatie van gebeurtenisrecords Structuur ELF_LOGFILE_HEADER Logboekrecordstructuur Windows 10-gebeurtenislogboeken Forensische loganalyse Gebeurtenissen Windows Forensics Tools
Verzameling van vluchtige informatie Systeemtijd Geregistreerde gebruikers Open bestanden Netwerkinformatie Netwerk verbindingen Procesinformatie Proces- en poorttoewijzingen Procesgeheugen Netwerkstatus Spoolerbestanden afdrukken Andere belangrijke informatie
Systeemtijd
Geregistreerde gebruikers
Open bestanden
Netwerkinformatie
Netwerk connecties
Proces informatie
Proces- en poorttoewijzing
Verwerk geheugen
Netwerk status
Afdrukwachtrijbestanden
Andere belangrijke informatie
Niet-vluchtige informatieverzameling Bestandssystemen Registerinstellingen Beveiligingsidentificaties (SID's) Gebeurtenislogboeken ESE-databasebestand Verbonden apparaten Slack Space Virtueel geheugen Slaapstand Bestanden Pagina Bestand zoeken Index Vind verborgen partities Verborgen alternatieve streams Overige niet-vluchtig informatie
Bestandssystemen
Registerinstellingen
Beveiligingsidentificaties (SID's)
Gebeurtenislogboeken
ESE-databasebestand
Verbonden apparaten
Slappe ruimte
Virtueel geheugen
Slaapstandbestanden
Bestand wisselen
Zoekindex
Vind verborgen secties
Verborgen alternatieve stromen
Overige niet-vluchtige informatie
Windows-geheugenanalyse Virtuele harde schijven (VHD) Geheugendump EProcess-structuurcreatiemechanisme proces Geheugeninhoud analyseren Procesgeheugen analyseren Een procesbeeld extraheren Inhoud uit het geheugen verzamelen proces
Virtuele harde schijven (VHD)
Geheugen dump
EProcesstructuur
Mechanisme voor het maken van processen
Analyse van geheugeninhoud
Analyse van procesgeheugen
Een procesafbeelding ophalen
Inhoud verzamelen uit het procesgeheugen
Windows-registeranalyse Register Apparaatregisterstructuur Register als logbestand Registeranalyse Systeeminformatie Tijdzone-informatie Openbare mappen Draadloze SSID's Volume Shadow Copy Service Systeem opstarten Gebruikersaanmelding Gebruikersactiviteit USB-opstartregistersleutels apparaten Gekoppelde apparaten Bijhouden van gebruikersactiviteiten UserAssist-sleutels MRU-lijsten Verbinding maken met andere systemen Herstelpuntanalyse Bepalen van lanceerplaatsen
Registerapparaat
Registerstructuur
Registeren als logbestand
Registeranalyse
Systeem informatie
Informatie over tijdzone
Gedeelde mappen
Draadloze SSID's
Volume Shadow Copy-service
Systeem opstarten
Gebruiker login
Gebruikersactiviteit
Opstartregistersleutels
USB-apparaten
Monteerbare apparaten
Bijhouden van gebruikersactiviteiten
UserAssist-toetsen
MRU-lijsten
Verbinding maken met andere systemen
Herstelpuntanalyse
Bepalen van lanceerplaatsen
Cache-, cookie- en geschiedenisanalyse Mozilla Firefox Google Chrome Microsoft Edge en Internet Explorer
Mozilla Firefox
Google Chrome
Microsoft Edge en Internet Explorer
Windows-bestandsanalyse Systeemherstelpunten Prefetch-bestanden Snelkoppelingen Afbeeldingsbestanden
Systeemherstelpunten
Bestanden vooraf ophalen
Snelkoppelingen
Afbeeldingsbestanden
Metadataonderzoek Wat zijn metadata Soorten metadata Metadata in verschillende bestandssystemen Metadata in PDF-bestanden Metadata in Word-documenten Metadata-analysetools
Wat zijn metagegevens
Metagegevenstypen
Metagegevens in verschillende bestandssystemen
Metagegevens in PDF-bestanden
Metagegevens in Word-documenten
Tools voor analyse van metadata
Logboeken Wat zijn gebeurtenissen Typen inloggebeurtenissen Bestandsformaat van gebeurtenislogboek Gebeurtenisrecords organiseren ELF_LOGFILE_HEADER Structuur Logboekstructuur Windows 10 Gebeurtenislogboeken Forensische loganalyse evenementen
Wat zijn evenementen
Soorten inloggebeurtenissen
Bestandsformaat gebeurtenislogboek
Het organiseren van evenementenregistraties
Structuur ELF_LOGFILE_HEADER
Structuur van logboekinvoer
Windows 10-gebeurtenislogboeken
Forensische analyse van gebeurtenislogboeken
Windows Forensische hulpprogramma's
LINUX Forensics Shell-opdrachten Linux-logbestanden Verzameling van vluchtige gegevens Niet-vluchtige gegevensverzameling Wisselgebied
Shell-opdrachten
Linux-logbestanden
Vluchtige gegevensverzameling
Niet-vluchtige gegevensverzameling
Wissel van gebied
MAC Forensics Inleiding tot MAC Forensics MAC Forensics Gegevenslogbestanden Directory's MAC Forensics Tools
Inleiding tot MAC Forensisch onderzoek
MAC Forensische gegevens
Logboek bestanden
Catalogi
MAC Forensische hulpmiddelen
Ontdek en extraheer materialen voor analyse met behulp van OSForensics
Informatie over lopende processen ophalen met Process Explorer
Gebeurtenissen analyseren met behulp van Event Log Explorer
Forensisch onderzoek uitvoeren met behulp van Helix
Vluchtige gegevens verzamelen in Linux
Analyse van niet-vluchtige gegevens in Linux
Module 7. Netwerkonderzoeken, logs en dumps van netwerkverkeer (4 ac. H.)
Inleiding tot netwerkforensisch onderzoek Wat is netwerkforensisch onderzoek Logboek en realtime analyse Netwerkkwetsbaarheden Netwerkaanvallen Waar moet u naar bewijs zoeken
Wat is netwerkforensisch onderzoek
Logboek en realtime analyse
Netwerkkwetsbaarheden
Netwerk aanvallen
Waar moet u naar bewijs zoeken?
Basisbegrippen voor logboekregistratie Logbestanden als bewijs Wet- en regelgeving Wettigheid van het gebruik van logboeken Registratie van reguliere activiteiten als bewijs
Logbestanden als bewijs
Wet en regelgeving
Legaliteit van het gebruik van tijdschriften
Registratie van reguliere activiteiten als bewijs
Gebeurteniscorrelatie Wat is gebeurteniscorrelatie Soorten gebeurteniscorrelatie Vereisten voor gebeurteniscorrelatie Benaderingen van correlaties van gebeurtenissen Ervoor zorgen dat logbestanden accuraat zijn Leg alles vast Tijd besparen Waarom tijd synchroniseren? computers? Wat is Network Time Protocol (NTP)? Meerdere sensoren gebruiken Verlies geen logboeken
Wat is gebeurteniscorrelatie?
Soorten gebeurteniscorrelatie
Vereisten voor correlatie van gebeurtenissen
Benaderingen van gebeurteniscorrelatie
Zorgen voor de nauwkeurigheid van logbestanden
Neem alles op
Tijd besparen
Waarom computertijd synchroniseren?
Wat is Network Time Protocol (NTP)?
Meerdere sensoren gebruiken
Raak geen tijdschriften kwijt
Logboekbeheer Logboekbeheer Infrastructuurfuncties Logboekbeheerproblemen Problemen met logbeheer oplossen Gecentraliseerd loggen Syslog-protocol Garandeer de systeemintegriteit Beheer de toegang tot logs Digitale handtekening, encryptie en controlesommen
Infrastructuurfuncties voor logboekbeheer
Problemen met logboekbeheer
Problemen met logbeheer oplossen
Gecentraliseerde logboekregistratie
Syslog-protocol
Zorgen voor systeemintegriteit
Toegangscontrole voor logboeken
Digitale handtekening, encryptie en checksums
Loganalyse Netwerk Forensics Engine Logverzameling en analysetools Routerloganalyseverzameling informatie uit de ARP-tabel Firewalllogboeken analyseren IDS-logboeken analyseren Honeypot-logboeken analyseren DHCP-logboeken analyseren Logboeken analyseren ODBC
Netwerk forensische analyse-engine
Hulpmiddelen voor het verzamelen en analyseren van logboeken
Routerlogboeken analyseren
Informatie verzamelen uit de ARP-tabel
Analyse van firewalllogboeken
IDS-loganalyse
Honeypot-loganalyse
DHCP-loganalyse
ODBC-logboekanalyse
Netwerkverkeer bestuderen Waarom netwerkverkeer bestuderen? Bewijs verzamelen door Wireshark te snuiven - sniffer N1 Netwerkpakketanalysatoren
Waarom netwerkverkeer bestuderen?
Bewijs verzamelen door te snuiven
Wireshark – N1-snuffelaar
Netwerkpakketanalysatoren
IDS-loganalyse
Netwerkbewijs documenteren
Reconstructie van bewijsmateriaal
Verzameling en analyse van logboeken met GFI EventsManager
Systeemloggegevens verkennen met XpoLog Center Suite
Onderzoek netwerkaanvallen met Kiwi Log Viewer
Onderzoek netwerkverkeer met Wireshark
Module 8. Onderzoek naar het hacken van webservers (2 ac. H.)
Inleiding tot forensisch onderzoek naar webapplicaties Architectuuruitdagingen voor webapplicaties in het forensisch onderzoek naar webapplicaties
Architectuur van webapplicaties
Problemen met forensisch onderzoek van webapplicaties
Webaanvallen onderzoeken Symptomen van een webapplicatieaanval Overzicht van webapplicatiebedreigingen Webaanvallen onderzoeken
Symptomen van een aanval op een webapplicatie
Overzicht van bedreigingen voor webapplicaties
Onderzoek naar webaanvallen
IIS Apache-webserverlogboeken onderzoeken
IIS
Apache
Onderzoek naar cross-site scripting (XSS)-aanvallen
Onderzoek naar SQL-injectieaanvallen
Onderzoek naar CSRF-aanvallen (cross-site request forgery).
Onderzoek naar aanvallen met code-injectie
Onderzoek naar aanvallen door cookievergiftiging
Detectietools voor webaanvallen
Analyse van domeinen en IP-adressen
Onderzoek naar een aanval op een webserver
Module 9. Onderzoek naar het hacken van databaseservers (2 ac. H.)
Forensisch onderzoek van databasebeheersystemen (DBMS)
MSSQL forensisch onderzoek Gegevensopslag in SQL-server Waar kunt u bewijs vinden in DBMS Vluchtige gegevensverzameling Gegevensbestanden en actieve transactielogboeken Logboekverzameling actieve transacties Databaseplancache SQL-servergebeurtenissen in Windows-logboeken SQL-servertracebestanden SQL-serverfoutenlogboeken MS forensische hulpmiddelen SQL
Gegevens opslaan in SQL-server
Waar kun je bewijs vinden in het DBMS?
Vluchtige gegevensverzameling
Gegevensbestanden en actieve transactielogboeken
Actieve transactielogboeken verzamelen
Cache van databaseplan
SQL-servergebeurtenissen in Windows-logboeken
Traceringsbestanden van SQL Server
SQL Server-foutenlogboeken
Forensische tools voor MS SQL
MySQL Forensisch onderzoek MySQL-architectuur Gegevenscatalogusstructuur MySQL Forensisch onderzoek Informatieschema bekijken MySQL Forensisch gereedschap
MySQL-architectuur
Structuur van gegevensdirectory
MySQL-forensisch onderzoek
Een informatieschema bekijken
MySQL forensische hulpmiddelen
MySQL forensische analysevoorbeelden
Databases extraheren van een Android-apparaat met Andriller
Analyseren van SQLite-databases met behulp van DB Browser voor SQLite
Voer forensische analyses uit van een MySQL-database
Module 10. Onderzoek naar cloudtechnologieën (2 ac. H.)
Cloud Computing-concepten Soorten cloud computing Scheiding van verantwoordelijkheden in de cloud Cloudimplementatiemodellen Bedreigingen van cloudtechnologieën Aanvallen op cloudoplossingen
Soorten cloudcomputing
Scheiding van verantwoordelijkheden in de cloud
Cloudimplementatiemodellen
Bedreigingen van cloudtechnologieën
Aanvallen op cloudoplossingen
Forensisch onderzoek in de cloud
Misdaden in de cloud Case Study: de cloud als onderwerp Case Study: de cloud als object Case Study: de cloud als hulpmiddel
Casestudy: Cloud als onderwerp
Casestudy: Cloud als object
Casestudy: Cloud als hulpmiddel
Cloud Forensics: belanghebbenden en hun rollen
Cloud Forensische problemen Architectuur en identificatie Logboeken van gegevensverzameling Juridische aspecten Analyse Forensische probleemcategorieën
Architectuur en identiteit
Gegevensverzameling
Tijdschriften
Legale aspecten
Analyse
Categorieën forensische problemen
Onderzoek naar cloudopslag
Forensisch onderzoek van de Dropbox-service Artefacten van het Dropbox-webportaal Artefacten van de Dropbox-client op Windows
Artefacten van het Dropbox-webportaal
Dropbox-clientartefacten op Windows
Forensisch onderzoek van de Google Drive-service Artefacten van het Google Drive-webportaal Artefacten van de Google Drive-client in Windows
Artefacten van het Google Drive-webportaal
Google Drive-clientartefacten op Windows
Forensische tools in de cloud
Forensische analyse van DropBox
Forensische analyse van Google Drive
Module 11. Onderzoek naar kwaadaardige software (4 ac. H.)
Malware-concepten Soorten malware Verschillende manieren waarop malware een systeem infiltreert Veelgebruikte methoden die door aanvallers worden gebruikt om malware online te verspreiden. Componenten malware
Soorten malware
Verschillende manieren waarop malware een systeem kan binnendringen
Veelgebruikte methoden die door aanvallers worden gebruikt om malware online te verspreiden
Malware-componenten
Forensisch onderzoek naar malware Waarom de identificatie en extractie van malware analyseren? malware Laboratorium voor malware-analyse Het voorbereiden van een testbank voor malware-analyse programma's
Waarom malware analyseren?
Malware-identificatie en -extractie
Malwareanalyselaboratorium
Een testbank voorbereiden voor malware-analyse
Hulpmiddelen voor malwareanalyse
Algemene regels voor malwareanalyse
Organisatorische kwesties van malware-analyse
Soorten malwareanalyse
Statische analyse Statische malware-analyse: bestandsvingerafdrukken Online diensten voor malware-analyse Lokaal en scannen op netwerkmalware Voer stringzoekopdrachten uit Identificeer verpakkings-/verduisteringsmethoden Vind informatie over draagbare uitvoerbare bestanden (PE) Bestandsafhankelijkheden bepalen Malware demonteren Analysetools malware
Statische malware-analyse: bestandsvingerafdrukken
Online diensten voor malwareanalyse
Scannen van lokale en netwerkmalware
Een stringzoekopdracht uitvoeren
Het definiëren van verpakkings-/verduisteringsmethoden
Informatie zoeken over draagbare uitvoerbare bestanden (PE)
Bestandsafhankelijkheden bepalen
Malware demonteren
Hulpmiddelen voor malwareanalyse
Dynamische analyse Procesbewaking Bewaking van bestanden en mappen Registerbewaking Bewaking van netwerkactiviteit Bewaking poorten Controle van DNS Controle van API-aanroepen Controle van apparaatstuurprogramma's Controle van opstartprogramma's Controle van diensten ramen
Procesbewaking
Bewaking van bestanden en mappen
Registerbewaking
Bewaking van netwerkactiviteit
Havenbewaking
DNS-bewaking
Monitoring van API-oproepen
Toezicht op apparaatstuurprogramma's
Bewaken van opstartprogramma's
Windows Services-bewaking
Analyse van kwaadaardige documenten
Problemen met malwareanalyse
Een statische analyse van een verdacht bestand uitvoeren
Dynamische malwareanalyse
Analyse van een kwaadaardig PDF-bestand
Scan PDF-bestanden met behulp van netwerkbronnen
Scannen van verdachte kantoordocumenten
Module 12. Forensisch onderzoek van e-mail (2 ac. H.)
E-mailsysteem E-mailclients E-mailserver SMTP-server POP3-server IMAP-server Het belang van het beheren van elektronische documenten
Mail-clients
E-mailserver
SMTP-server
POP3-server
IMAP-server
Het belang van elektronisch documentbeheer
Misdaden gerelateerd aan e-mail Spam Mailhacking Mailstorm Phishing E-mailspoofing mail Illegale berichten Identiteitsfraude Kettingbrieven Crimineel kroniek
Spam
Mailhacken
Mail storm
Phishing
E-mailspoofing
Illegale berichten
Identiteitsfraude
Brieven van geluk
Misdaadkroniek
E-mailbericht Kopteksten voor e-mailberichten Lijst met algemene e-mailkopteksten
E-mailheaders
Lijst met typische e-mailheaders
Stappen voor het onderzoeken van e-mailcriminaliteit Toestemming verkrijgen om e-mailberichten te doorzoeken, in beslag te nemen en te onderzoeken E-mailberichten kopiëren Berichtkoppen bekijken in Microsoft Outlook in AOL in Apple Mail in Gmail in Yahoo Mail Analyseer de kopteksten van e-mailberichten Extra bestanden controleren (.pst / .ost) De geldigheid van e-mail controleren IP-adressen onderzoeken De oorsprong van e-mail bijhouden Informatie controleren header Webmail tracking E-mailarchieven verzamelen E-mailarchieven Inhoud van e-mailarchieven Lokaal archief Serverarchief Herstel verwijderde e-mails E-maillogboeken onderzoeken Logboeken van Linux-e-mailservers > Logboeken van Microsoft Exchange-e-mailserver Serverlogboeken Novell-e-mail
Het verkrijgen van toestemming voor inzage, inbeslagneming en onderzoek
E-mailonderzoek
E-mailberichten kopiëren
Bekijk berichtkoppen in Microsoft Outlook in AOL in Apple Mail in Gmail in Yahoo Mail
in Microsoft Outlook
op AOL
in Apple Mail
in Gmail
in Yahoo Mail
E-mailheaders analyseren Extra bestanden controleren (.pst / .ost) Validiteit van e-mail controleren Onderzoek naar IP-adressen
Extra bestanden controleren (.pst / .ost)
E-mailvalidatiecontrole
Onderzoek naar IP-adressen
Traceren van de herkomst van e-mail Headerinformatie controleren Webmail volgen
Koptekstinformatie controleren
Webmail volgen
Verzameling van e-mailarchieven E-mailarchieven Inhoud van e-mailarchieven Lokaal archief Serverarchief Herstellen van verwijderde e-mails
E-mailarchief
Inhoud van e-mailarchieven
Lokaal archief
Serverarchief
Herstellen van verwijderde e-mails
E-maillogboeken onderzoeken Logboeken van Linux-e-mailservers >Logboeken van Microsoft Exchange-e-mailserver Logboeken van Novell-e-mailserver
Linux e-mailserverlogboeken
>Microsoft Exchange e-mailserverlogboeken
Novell e-mailserverlogboeken
Forensische hulpmiddelen
E-mailmisdaadwetten
Herstel verwijderde e-mail met Herstel mijn e-mail
Onderzoek naar cybercriminaliteit met Paraben Email Examiner
Een e-mail traceren met eMailTrackerPro
Module 13. Onderzoek naar het hacken van mobiele apparaten (2 ac. H.)
Forensisch onderzoek van mobiele apparaten De noodzaak van forensisch onderzoek Belangrijkste bedreigingen voor mobiele apparaten
De noodzaak van forensisch onderzoek
Belangrijkste bedreigingen voor mobiele apparaten
Mobiele apparaten en forensisch onderzoek
Mobiel besturingssysteem en forensisch onderzoek Architecturale lagen van mobiele apparaten Android Architectural Stack Android-opstartproces iOS-architectuur iOS-opstartproces Normaal en DFU opstarten iPhone opstarten in DFU-modus Mobiele opslag en bewijsgebieden
Architecturale lagen van mobiele apparaten
Android-architectonische stapel
Android-opstartproces
iOS-architectuur
iOS-downloadproces
Opstarten in de normale modus en in de DFU-modus
Start de iPhone op in de DFU-modus
Mobiele opslag en opslag van bewijsmateriaal
Wat moet er vóór het onderzoek gebeuren? Bereid een forensisch werkstation voor. Bouw een onderzoeksteam. Overweeg beleid en wetten Toestemming verkrijgen voor onderzoek Risico's beoordelen Creëer een set forensische hulpmiddelen inspectie
Bereid een werkstation voor op forensisch onderzoek
Bouw een onderzoeksteam
Denk aan beleid en wetten
Vraag toestemming voor onderzoek
Beoordeel risico's
Creëer een set forensische hulpmiddelen
Bewijsanalyse van mobiele telefoons
Forensisch onderzoek op mobiele apparaten Bewijs verzamelen Documenteren van een plaats delict Documenteren van bewijsmateriaal Bewaren van bewijsmateriaal Een reeks regels voor de behandeling mobiele telefoon Insluiting van signaal van mobiele telefoon Verpakken, transporteren en opslaan van bewijsmateriaal Imaging Tools voor het maken van mobiele schijfimages apparaten Telefoonblokkering omzeilen Wachtwoord Android-telefoonblokkering omzeilen iPhone-code omzeilen USB-foutopsporing inschakelen Technieken voor het verwijderen van platformbeveiliging Verzameling en analyse informatie Verzameling van bewijsmateriaal vanaf mobiele apparaten Methoden voor gegevensverzameling Mobiel netwerk Subscriber Identity Module (SIM) Logische gegevensverzameling Fysieke gegevensverzameling Isolatie homogene datasets SQLite database-extractie Mobiele tools voor gegevensverzameling Een onderzoeksrapport maken Onderzoeksrapportsjabloon mobiel apparaat
Bewijsmateriaal verzamelen
Documenteren van een plaats delict Documenteren van bewijsmateriaal Bewaren van bewijsmateriaal Een reeks regels voor de behandeling mobiele telefoon Insluiting van signaal van mobiele telefoon Verpakking, transport en opslag bewijs
Documenteren van bewijsmateriaal
Bewaring van bewijsmateriaal
Een reeks regels voor het omgaan met een mobiele telefoon
Signaalstoring van mobiele telefoon
Verpakking, transport en opslag van bewijsmateriaal
Een afbeelding verwijderen Hulpmiddelen voor het maken van een schijfkopie van mobiele apparaten Telefoonblokkering omzeilen Omzeilen Android-telefoonslot Wachtwoord omzeilen iPhone-code Schakel USB-foutopsporing in Verwijderingstechnieken in platforms
Hulpmiddelen voor het maken van schijfkopieën van mobiele apparaten
Telefoonblokkering omzeilen
Omzeil het wachtwoord voor het Android-telefoonslot
iPhone-code omzeilen
Schakel USB foutosporing aan
Technieken voor het verwijderen van platformbescherming
Verzameling en analyse van informatie Verzameling van bewijsmateriaal vanaf mobiele apparaten Methoden voor gegevensverzameling Mobiel netwerk Abonnee-identificatiemodule (SIM) Logische verzameling data Fysieke dataverzameling Isolatie van homogene datasets SQLite database-extractie Tools voor het verzamelen van data van mobiele apparaten
Bewijsmateriaal verzamelen vanaf mobiele apparaten
Methoden voor gegevensverzameling
Cellulair netwerk
Abonnee-identiteitsmodule (SIM)
Logische gegevensverzameling
Fysieke gegevensverzameling
Isolatie van homogene data-arrays
De SQLite-database extraheren
Hulpmiddelen voor mobiele gegevensverzameling
Maak een onderzoeksrapport voor een onderzoeksrapport voor mobiele apparaten
Sjabloon voor onderzoeksrapport voor mobiele apparaten
Forensische analyse van een afbeelding van een mobiel apparaat en ophalen van verwijderde bestanden met behulp van autopsie
Onderzoek naar een Android-apparaat met Andriller
Module 14. Opstellen van een onderzoeksrapport (2 ac. H.)
Een onderzoeksrapport voorbereiden Forensisch onderzoeksrapport Belangrijke aspecten van een goed rapportsjabloon forensisch rapport Classificatie van rapporten Richtlijnen voor het schrijven van een rapport Schrijftips rapport
Forensisch onderzoeksrapport
Belangrijke aspecten van een goed rapport
Forensische wetenschapsrapportsjabloon
Rapportclassificatie
Handleiding voor het schrijven van een rapport
Tips voor het schrijven van een rapport
Getuigenis van een getuige-deskundige Wie is een “getuige-deskundige”? De rol van de getuige-deskundige Technische getuige en getuige-deskundige Dewbert Standard Freie Standard Rules of Good getuige-deskundige Het belang van een cv Beroepscode van een getuige-deskundige Voorbereiden op een getuigenis getuigenis
Wie is een “getuige-deskundige”?
De rol van de getuige-deskundige
Technische getuige en deskundige getuige
Deubert-standaard
Vrije standaard
Regels voor een goede getuige-deskundige
Het belang van een CV
Beroepscode van getuige-deskundige
Voorbereiden om te getuigen
Getuigenis in de rechtbank Algemene procedures in gerechtelijke procedures Algemene ethiek bij het afleggen van getuigenissen Het belang van afbeeldingen in getuigenissen Hoe u problemen kunt voorkomen met getuigenis Getuigenis tijdens direct onderzoek Getuigenis tijdens kruisverhoor Getuigenis opgenomen in het materiaal zaken
Algemene procedure voor gerechtelijke procedures
Algemene ethiek bij het getuigen
De betekenis van afbeeldingen in metingen
Hoe u problemen met metingen kunt voorkomen
Getuigen tijdens direct verhoor
Getuigen tijdens kruisverhoor
Getuigenis toegevoegd aan het dossier
Werken met de media
Opstellen van een incidentonderzoeksrapport
Module 15. Eindtest (4 ak. H.)