Untersuchung von Hacker-Vorfällen. Grundlagen der Forensik - Kurs 179.990 Rubel. von Spezialist, Ausbildung, Datum 20. Januar 2024.
Verschiedenes / / December 02, 2023
Das Kursprogramm legt die Grundlagen der Forensik – der angewandten Wissenschaft zur Aufklärung von Cyberkriminalität sowie zur Erforschung und Analyse digitaler Beweise. Der Kurs zur Untersuchung von Hacker-Vorfällen wird klare Richtlinien und Anweisungen für seine Entwicklung geben. In diesem Kurs lernen Sie, wie Sie die Folgen von Computerkriminalität erfolgreich erkennen, untersuchen und beseitigen. Sie lernen die Vorgehensweise kennen, um festzustellen, ob ein Hacker in ein System eingedrungen ist, und erhalten Empfehlungen zur Überwachung der Aktionen eines potenziellen Eindringlings.
Der Kurs ist so konzipiert, dass neue theoretische Erkenntnisse unbedingt durch eine Praxis unterstützt werden, die möglichst realitätsnah ist. Sie vertiefen die Theorie durch die Durchführung von Laborarbeiten (insgesamt sind es 39), die auch die Praxis beinhalten Ermittlungen zu Cyberkriminalität mithilfe von E-Mail-, Mobil- und Cloud-Plattformen Dienstleistungen.
Dieser Kurs ist ideal für Sie, wenn Sie:
Der Kurs behandelt auch die Notfallwiederherstellung von Systemen. .
Du wirst es lernen:
digitale Beweise suchen, beschaffen und analysieren;
Vorfälle untersuchen, die auf Hacking-Techniken zurückzuführen sind;
Methoden und Techniken cyberforensischer Untersuchungen anwenden;
Interpretieren Sie die gesammelten Daten im Rahmen einer Untersuchung eines Computervorfalls.
Modul 1. Computerforensik in der modernen Welt (2 ac. H.)
Was ist Computerforensik?
Anwendung der Computerforensik
Arten von Computerkriminalität
Fallstudie. Beispiele für Ermittlungen zu Computerkriminalität
Schwierigkeiten bei der forensischen Untersuchung
Untersuchung von Cyberkriminalität
Zivilrechtliche Ermittlungen
Ermittlungsverfahren
Verwaltungsuntersuchung
Fallstudie. Beispiele für Untersuchungsarten
Regeln der forensischen ärztlichen Untersuchung
Aufklärung von Straftaten organisierter krimineller Gruppen (Enterprise Theory of Investigation)
Digitale Beweise
Was ist ein digitaler Beweis?
Arten digitaler Beweise
Merkmale digitaler Beweise
Die Rolle digitaler Beweise
Quellen möglicher Beweise
Regeln für die Beweiserhebung
Best-Evidence-Anforderung
Beweiskodex
Ableitungsbeweise
Wissenschaftliche Arbeitsgruppe Digitale Beweise (SWGDE)
Vorbereitung auf forensische Untersuchungen
Computerforensik als Teil eines Incident-Response-Plans
Die Notwendigkeit einer Computerforensik
Rollen und Verantwortlichkeiten eines forensischen Ermittlers
Probleme der forensischen Untersuchung
Rechtsfragen
Datenschutzprobleme
Ethische Regeln
Ressourcen zur Computerforensik
Erlernen der Grundlagen der Ermittlung von Computerkriminalität
Vorbereitung des Labors für praktische Experimente
Modul 2. Der Prozess der Untersuchung von Computervorfällen (2 ac. H.)
Die Bedeutung des Untersuchungsprozesses
Phasen des Untersuchungsprozesses
Voruntersuchungsphase. Vorbereitung des forensischen Labors. Aufbau eines Ermittlungsteams Überprüfung von Richtlinien und Gesetzen, Einrichtung von Qualitätssicherungsprozessen, Verständnis von Datenvernichtungsstandards, Bewertung Risiko
Forensische Laborvorbereitung
Aufbau des Ermittlungsteams
Überprüfung von Richtlinien und Gesetzen
Qualitätsprozesse schaffen
Einführung in Datenvernichtungsstandards
Risikobewertung
Untersuchungsphase Untersuchungsprozess Untersuchungsmethodik: schnelle Reaktion Untersuchungsmethodik: Durchsuchung und Beschlagnahme Verhalten Vorbefragungen Durchsuchungs- und Beschlagnahmungsplanung Durchsuchungs- und Beschlagnahmungsbefehle Gesundheits- und Sicherheitsfragen Sicherheits- und Tatortbewertung: Checkliste
Untersuchungsprozess
Untersuchungsmethodik: schnelle Reaktion
Untersuchungsmethodik: Durchsuchung und Beschlagnahme
Durchführung von Vorgesprächen
Planung für Inspektion und Beschlagnahme
Durchsuchungs- und Beschlagnahmungsbefehl
Gesundheits- und Sicherheitsfragen
Verteidigung und Bewertung von Tatorten: Checkliste
Untersuchungsmethodik: Beweiserhebung. Sammlung physischer Beweise. Form der Beweiserhebung. Sammlung und Aufbewahrung elektronischer Beweise. Arbeit mit eingeschalteten Computern. Arbeiten mit ausgeschalteten Computern. Arbeiten mit einem Netzwerkcomputer. Arbeiten mit geöffneten Dateien und Startdateien. Vorgehensweise Ausschalten des Betriebssystems Arbeiten mit Workstations und Servern Arbeiten mit Laptop-Computern Arbeiten mit eingeschalteten Laptops Computers
Sammlung von Beweisen
Formular zur Beweiserhebung
Sammlung und Aufbewahrung elektronischer Beweismittel
Arbeiten mit eingeschalteten Computern
Arbeiten mit ausgeschalteten Computern
Arbeiten mit einem Netzwerkcomputer
Arbeiten mit geöffneten Dateien und Startdateien
Vorgehensweise zum Herunterfahren des Betriebssystems
Arbeiten mit Workstations und Servern
Arbeiten mit Laptop-Computern
Arbeiten mit eingeschalteten Laptops
Untersuchungsmethodik: Schutz von Beweismitteln. Verwaltung von Beweismitteln. Verfahren zur Übertragung und Aufbewahrung von Beweismitteln. Verpackung und Transport elektronischer Beweismittel Nummerierung physischer Beweismittel Aufbewahrung elektronischer Beweismittel Beweis
Beweismanagement
Verfahren zur Übermittlung und Aufbewahrung von Beweismitteln
Verpackung und Transport elektronischer Beweismittel
Nummerierung physischer Beweise
Speicherung elektronischer Beweismittel
Untersuchungsmethodik: Datenerfassung, Datenerfassungshandbuch, Datenduplizierung, Bildintegritätsprüfung, Datenwiederherstellung
Leitfaden zur Datenerfassung
Datenvervielfältigung
Überprüfung der Bildintegrität
Datenwiederherstellung
Untersuchungsmethodik: Datenanalyse Datenanalyse Prozessdatenanalysesoftware
Datenanalyseprozess
Datenanalysesoftware
Phase nach der Untersuchung
Untersuchungsmethodik: Beweiswürdigung, Bewertung der gefundenen Beweise, Einbeziehung von Beweismitteln in den Fall, Bearbeitung der Bewertung Standorte Sammeln von Daten aus sozialen Netzwerken Empfehlungen für die Recherche in sozialen Netzwerken Empfehlungen für Beweiswürdigung
Auswertung der gefundenen Beweise
Hinzufügen von Beweisen zum Fall
Standortschätzung verarbeiten
Erhebung von Daten aus sozialen Netzwerken
Richtlinien für die Social-Media-Forschung
Richtlinien zur Beweiswürdigung
Untersuchungsmethodik: Dokumentation und Berichterstattung. Dokumentation für jede Phase der Untersuchung. Sammeln und Organisieren von Informationen. Verfassen eines Untersuchungsberichts
Dokumentation für jede Phase der Untersuchung
Informationen sammeln und organisieren
Einen Forschungsbericht schreiben
Untersuchungsmethodik: Sachverständigengutachten. Als Sachverständiger fungieren. Den Fall abschließen
Tätigkeit als Sachverständiger
Den Fall abschließen
Professionelles Verhalten
Studium und praktische Anwendung von Softwaretools, die im Prozess der forensischen Untersuchung erforderlich sind
Modul 3. Festplatten und Dateisysteme (4 ac. H.)
Übersicht über Festplatten, Festplatten (HDD), Solid-State-Laufwerke (SSD), physische Struktur einer Festplatte, logische Struktur einer Festplatte, Arten von Festplattenschnittstellen, Festplattenschnittstellen Festplatten Verfolgt Sektoren Cluster Fehlerhafte Sektoren Bits, Bytes und Nibbles Adressieren von Daten auf einer Festplatte Datendichte auf einer Festplatte Berechnen der Festplattenkapazität Messen der Festplattenleistung Scheibe
Festplatten (HDD)
Solid-State-Laufwerke (SSD)
Physische Struktur einer Festplatte
Logische Struktur einer Festplatte
Arten von Festplattenschnittstellen
Festplattenschnittstellen
Spuren
Sektoren
Cluster
Schlechte Sektoren
Bit, Byte und Nibble
Adressieren von Daten auf einer Festplatte
Datendichte der Festplatte
Berechnung der Festplattenkapazität
Messung der Festplattenleistung
Festplattenpartitionen und der Startvorgang Festplattenpartitionen BIOS-Parameterblock Master Boot Record (MBR) Globally Unique Identifier (GUID) Was ist der Startvorgang? Windows-Kernsystemdateien Windows-Startvorgang GUID-Partitionstabellenidentifizierung GPT-Header- und Eintragsanalyse GPT-Artefakte Macintosh-Startvorgang Linux-Startvorgang
Festplattenpartitionen
BIOS-Parameterblock
Master Boot Record (MBR)
Global eindeutiger Identifikator (GUID)
Wie läuft der Download-Prozess ab?
Windows-Basissystemdateien
Windows-Bootvorgang
GUID-Partitionstabellenidentifikation
Analyse von GPT-Headern und -Datensätzen
GPT-Artefakte
Macintosh-Bootvorgang
Linux-Bootvorgang
Dateisysteme Dateisysteme verstehen Arten von Dateisystemen Windows-Dateisysteme Linux-Dateisysteme Mac OS X-Dateisysteme Dateisystem Oracle Solaris 11: ZFS CD-ROM/DVD-Dateisystem Compact Disc File System (CDFS) Virtual File System (VFS) Vielseitiges Festplattendateisystem (UDF)
Allgemeine Informationen zu Dateisystemen
Dateisystemtypen
Windows-Dateisysteme
Linux-Dateisysteme
Mac OS X-Dateisysteme
Oracle Solaris 11-Dateisystem: ZFS
CD-ROM/DVD-Dateisystem
Compact Disc File System (CDFS)
Virtuelles Dateisystem (VFS)
Universal Disk File System (UDF)
Speichersystem-RAID RAID-Level Host Protected Areas (HPAs)
RAID-Level
Host-Schutzgebiete (HPAs)
Dateisystemanalyse Isolierung homogener Datensätze Bilddateianalyse (JPEG, BMP, hexadezimale Bilddateiformate) PDF-Dateianalyse Word-Dateianalyse Word-Analyse PPT-Dateien Excel-Dateianalyse Hexadezimale Ansicht gängiger Dateiformate (Video, Audio) Dateisystemanalyse mit Autopsy Dateisystemanalyse mit The Sleuth Kit (TSK)
Isolierung homogener Datenarrays
Bilddateianalyse (JPEG, BMP, hexadezimale Bilddateiformate)
PDF-Dateianalyse
Word-Dateianalyse
PPT-Dateianalyse
Excel-Dateianalyse
Hexadezimale Darstellung gängiger Dateiformate (Video, Audio)
Dateisystemanalyse mit Autopsy
Dateisystemanalyse mit dem Sleuth Kit (TSK)
Wiederherstellen gelöschter Dateien
Dateisystemanalyse
Modul 4. Erhebung und Vervielfältigung von Daten (2 ac. H.)
Datenerfassungs- und Replikationskonzepte Übersicht über die Datenerfassung Arten von Datenerfassungssystemen
Allgemeine Informationen zur Datenerfassung. Arten von Datenerfassungssystemen
Arten von Datenerfassungssystemen
Erhalten von Echtzeitdaten Volatilitätsreihenfolge Typische Fehler beim Sammeln volatiler Daten Methodik zum Sammeln volatiler Daten
Volatilitätsordnung
Häufige Fehler beim Sammeln volatiler Daten
Methodik zur variablen Datenerfassung
Erfassen statischer Daten. Faustregeln für statische Daten. Duplizieren von Bildern. Probleme beim Bit-Kopieren und Kopieren von Sicherungsdaten. Schritte zum Sammeln und Duplizieren Daten Vorbereiten des Formulars zur Einreichung von Beweismitteln Aktivieren des Schreibschutzes auf Beweismedien Vorbereiten der Zielmedien: NIST SP 800-88-Leitfaden Bestimmen der Datenerfassungsformatmethoden Datenerfassung Bestimmen der besten Datenerfassungsmethode Auswahl eines Datenerfassungstools Sammeln von Daten von RAID-Laufwerken Ferndatenerfassung Fehler bei der Datenerfassung Planung Notfallsituationen
Statische Daten
Faustregeln
Doppelte Bilder
Bitkopie und Backup
Probleme beim Kopieren von Daten
Schritte zum Sammeln und Duplizieren von Daten. Vorbereiten des Beweisübertragungsformulars. Aktivieren des Schreibschutzes auf Beweisdatenträgern. Vorbereiten des Ziels Medien: NIST SP 800-88-Leitfaden Bestimmen des Datenerfassungsformats Datenerfassungsmethoden Bestimmen der besten Datenerfassungsmethode Auswahl Datenerfassungstool Datenerfassung von RAID-Festplatten Ferndatenerfassung Fehler bei der Datenerfassung Notfallplanung Situationen
Vorbereiten des Beweisformulars
Schreibschutz auf Beweisdatenträgern aktivieren
Zielmedien vorbereiten: NIST SP 800-88-Leitfaden
Definieren des Datenerfassungsformats
Datenerfassungsmethoden
Bestimmung der besten Datenerfassungsmethode
Auswahl eines Datenerfassungstools
Sammeln von Daten von RAID-Festplatten
Datenfernabfrage
Fehler bei der Datenerfassung
Notfallplanung
Richtlinien zur Datenerfassung
Verwenden von Software zum Extrahieren von Daten von Festplatten
Modul 5. Techniken, die eine forensische Untersuchung erschweren (2 ac. H.)
Was ist Antiforensik? Ziele der Antiforensik
Ziele der Antiforensik
Anti-Forensik-Techniken Löschen von Daten/Dateien Was passiert, wenn Sie eine Datei in Windows löschen? Windows-Papierkorb Wo der Papierkorb in FAT- und NTFS-Systemen gespeichert ist So funktioniert der Papierkorb Beschädigung der INFO2-Datei Beschädigung von Dateien im Papierkorb Beschädigung des Papierkorbverzeichnisses Wiederherstellung Dateien Dateiwiederherstellungstools in Windows Dateiwiederherstellungstools in MAC OS X Dateiwiederherstellung in Linux Wiederherstellen gelöschter Partitionen Passwortschutz Passworttypen So funktioniert ein Passwort-Cracker. Techniken zum Knacken von Passwörtern. Standardpasswörter. Verwenden von Rainbow Tables zum Knacken von Hash. Microsoft-Authentifizierung. Knacken von Systempasswörtern. Umgehen von BIOS-Passwörtern Tools zum Zurücksetzen von Administratorkennwörtern Tools zum Knacken von Anwendungskennwörtern Tools zum Knacken von Systemkennwörtern Steganographie und Steganalyse Verstecken von Daten in Strukturen Dateisystem Verschleierung von Spuren Löschen von Artefakten Umschreiben von Daten und Metadaten Verschlüsselung Verschlüsselndes Dateisystem (EFS) Datenwiederherstellungstools EFS verschlüsselt Netzwerkprotokolle Packer Rootkits Erkennen von Rootkits Schritte zum Erkennen von Rootkits Minimieren von Spuren Ausnutzen von Fehlern in forensischen Tools Erkennung forensische Werkzeuge
Daten/Dateien löschen Was passiert, wenn Sie eine Datei in Windows löschen?
Was passiert, wenn Sie eine Datei in Windows löschen?
Windows-Papierkorb Wo der Papierkorb in FAT- und NTFS-Systemen gespeichert ist So funktioniert der Papierkorb Beschädigung der INFO2-Datei Beschädigung von Dateien im Papierkorb Beschädigung des Papierkorbverzeichnisses
Speicherort des Papierkorbs in FAT- und NTFS-Systemen
So funktioniert der Warenkorb
Beschädigung der INFO2-Datei
Schäden an Dateien im Papierkorb
Beschädigung des Papierkorbverzeichnisses
Dateiwiederherstellung Tools zur Dateiwiederherstellung unter Windows Tools zur Dateiwiederherstellung unter MAC OS X Dateiwiederherstellung unter Linux Wiederherstellen gelöschter Partitionen
Dateiwiederherstellungstools in Windows
Tools zur Dateiwiederherstellung in MAC OS X
Dateiwiederherstellung unter Linux
Wiederherstellen gelöschter Partitionen
Passwortschutz Arten von Passwörtern So funktioniert ein Passwort-Cracker Techniken zum Knacken von Passwörtern Standardpasswörter Verwenden von Regenbogentabellen zum Knacken von Hashes Microsoft-Authentifizierung Hacken von Systemkennwörtern Umgehen von BIOS-Kennwörtern Tools zum Zurücksetzen des Administratorkennworts Tools zum Knacken von Anwendungskennwörtern Tools zum Knacken von Systemkennwörtern Passwörter
Passworttypen
Die Arbeit eines Passwort-Crackers
Techniken zum Knacken von Passwörtern
Standardpasswörter
Verwendung von Regenbogentabellen zum Knacken von Hashes
Microsoft-Authentifizierung
Hacken von Systempasswörtern
BIOS-Passwörter umgehen
Tools zum Zurücksetzen des Administratorkennworts
Tools zum Knacken von Anwendungskennwörtern
Tools zum Knacken von Systemkennwörtern
Steganographie und Steganalyse
Verstecken von Daten in Dateisystemstrukturen
Verschleierung von Spuren
Artefakte löschen
Daten und Metadaten neu schreiben
Verschlüsselung Encrypting File System (EFS) EFS-Datenwiederherstellungstools
Verschlüsselndes Dateisystem (EFS)
EFS-Datenwiederherstellungstools
Verschlüsselte Netzwerkprotokolle
Packer
Rootkits Erkennen von Rootkits Schritte zum Erkennen von Rootkits
Rootkit-Erkennung
Schritte zum Erkennen von Rootkits
Minimierung des Fußabdrucks
Ausnutzen von Fehlern in forensischen Tools
Erkennung forensischer Tools
Gegenmaßnahmen gegen Anti-Forensik
Tools, die die forensische Untersuchung erschweren
Verwendung von Software zum Knacken von Anwendungskennwörtern
Steganographie-Erkennung
Modul 6. Forensische Untersuchung von Betriebssystemen (4 ac. H.)
Einführung in die OS-Forensik
Forensische Analyse WINDOWS
Windows-Forensik-Methodik zum Sammeln flüchtiger Informationen Systemzeit Registrierte Benutzer öffnen Dateien Netzwerkinformationsnetzwerk Verbindungen Prozessinformationen Prozess- und Portzuordnungen Prozessspeicher Netzwerkstatus Spooldateien drucken Weitere wichtige Informationen Sammeln nichtflüchtiger Informationen Dateisysteme Registrierungseinstellungen Sicherheitskennungen (SIDs) Ereignisprotokolle ESE-Datenbankdatei Verbundene Geräte Slack Space Virtueller Speicher Ruhezustandsdateien Datei Paging Suchindex Finden Sie versteckte Partitionen Versteckte alternative Streams Andere nichtflüchtige Informationen Windows-Speicheranalyse Virtuelle Festplatten (VHD) Speicherabbild Struktur von EProcess Prozesserstellungsmechanismus Analysieren von Speicherinhalten Analysieren des Prozessspeichers Extrahieren eines Prozessabbilds Sammeln von Inhalten aus dem Prozessspeicher Analysieren der Windows-Registrierung Registrierungsgerät Registrierungsstruktur Registrierung als Protokolldatei Registrierungsanalyse Systeminformationen Zeitzoneninformationen Öffentliche Ordner Drahtloser SSID-Dienst Volumeschattenkopie Systemstart Benutzeranmeldung Benutzeraktivität Startregistrierungsschlüssel USB-Geräte Gemountete Geräte Aktivitätsverfolgung Benutzer UserAssist-Schlüssel MRU-Listen Verbindung zu anderen Systemen Wiederherstellungspunktanalyse Bestimmen der Startorte Cache-, Cookie- und Verlaufsanalyse Mozilla Firefox Google Chrome Microsoft Edge und Internet Explorer Windows-Dateianalysesystem Wiederherstellungspunkte Dateien vorab abrufen Verknüpfungen Bilddateien Metadatenforschung Was sind Metadatentypen? Metadaten Metadaten in verschiedenen Dateisystemen Metadaten in PDF-Dateien Metadaten in Word-Dokumenten Metadaten-Analysetools Protokolle Was sind Ereignisse? Arten von Anmeldeereignissen System Ereignisprotokolldateiformat Organisation von Ereignisdatensätzen Struktur ELF_LOGFILE_HEADER Protokolldatensatzstruktur Windows 10-Ereignisprotokolle Forensische Protokollanalyse Ereignisse Windows-Forensik-Tools
Sammlung flüchtiger Informationen Systemzeit Registrierte Benutzer Offene Dateien Netzwerkinformationen Netzwerk Verbindungen Prozessinformationen Prozess- und Portzuordnungen Prozessspeicher Netzwerkstatus Druckspoolerdateien Sonstiges wichtig Information
Systemzeit
Registrierte Benutzer
Dateien öffnen
Netzwerkinformationen
Netzwerkverbindungen
Prozessinformationen
Prozess- und Port-Mapping
Prozessgedächtnis
Netzwerkstatus
Druckwarteschlangendateien
Weitere wichtige Informationen
Nichtflüchtige Informationssammlung Dateisysteme Registrierungseinstellungen Sicherheitskennungen (SIDs) Ereignisprotokolle ESE-Datenbankdatei Angeschlossene Geräte Slack Space, virtueller Speicher, Ruhezustand, Dateien, Seite, Dateisuche, Index, Suche nach versteckten Partitionen, versteckte alternative Streams, andere nichtflüchtige Daten Information
Dateisysteme
Registrierungseinstellungen
Sicherheitskennungen (SIDs)
Ereignisprotokolle
ESE-Datenbankdatei
Verbundene Geräte
Freiraum
Virtueller Speicher
Dateien in den Ruhezustand versetzen
Auslagerungsdatei
Suchindex
Finden Sie versteckte Abschnitte
Versteckte alternative Streams
Sonstige nichtflüchtige Informationen
Windows-Speicheranalyse Virtuelle Festplatten (VHD) Speicherabbild EProzessstrukturerstellungsmechanismus Prozess Analysieren von Speicherinhalten Analysieren von Prozessspeichern Extrahieren eines Prozessabbilds Sammeln von Inhalten aus dem Speicher Verfahren
Virtuelle Festplatten (VHD)
Speicherauszug
EProzessstruktur
Mechanismus zur Prozesserstellung
Analyse des Speicherinhalts
Prozessgedächtnisanalyse
Abrufen eines Prozessbildes
Sammeln von Inhalten aus dem Prozessspeicher
Windows-Registrierungsanalyse Registrierungsgerät Registrierungsstruktur Registrierung als Protokolldatei Registrierungsanalyse Systeminformationen Zeitzoneninformationen Öffentliche Ordner Drahtlose SSIDs Volumeschattenkopie-Dienst Systemstart Benutzeranmeldung Benutzeraktivität USB-Startregistrierungsschlüssel Geräte Gemountete Geräte Benutzeraktivitätsverfolgung UserAssist-Schlüssel MRU-Listen Verbindung zu anderen Systemen Wiederherstellungspunktanalyse Bestimmung der Startplätze
Registrierungsgerät
Registrierungsstruktur
Registry als Logdatei
Registrierungsanalyse
System Information
Informationen zur Zeitzone
Geteilte Ordner
Drahtlose SSIDs
Volumeschattenkopie-Dienst
Systemstart
Benutzer-Anmeldung
Benutzeraktivität
Registrierungsschlüssel für den Start
USB-Geräte
Montierbare Geräte
Verfolgung der Benutzeraktivität
UserAssist-Schlüssel
MRU-Listen
Anbindung an andere Systeme
Analyse des Wiederherstellungspunkts
Bestimmung der Startplätze
Cache-, Cookie- und Verlaufsanalyse Mozilla Firefox Google Chrome Microsoft Edge und Internet Explorer
Mozilla Firefox
Google Chrome
Microsoft Edge und Internet Explorer
Windows-Dateianalyse, Systemwiederherstellungspunkte, Prefetch-Dateien, Verknüpfungen, Bilddateien
Systemwiederherstellungspunkte
Dateien vorab abrufen
Verknüpfungen
Bilddateien
Metadatenforschung Was sind Metadaten? Arten von Metadaten, Metadaten in verschiedenen Dateisystemen, Metadaten in PDF-Dateien, Metadaten in Word-Dokumenten, Tools zur Metadatenanalyse
Was sind Metadaten?
Metadatentypen
Metadaten in verschiedenen Dateisystemen
Metadaten in PDF-Dateien
Metadaten in Word-Dokumenten
Tools zur Metadatenanalyse
Protokolle Was sind Ereignisse? Arten von Anmeldeereignissen. Format der Ereignisprotokolldatei. Organisieren von Ereignisaufzeichnungen ELF_LOGFILE_HEADER Struktur Protokolldatensatzstruktur Windows 10-Ereignisprotokolle Forensische Protokollanalyse Veranstaltungen
Was sind Ereignisse?
Arten von Anmeldeereignissen
Format der Ereignisprotokolldatei
Organisieren von Ereignisaufzeichnungen
Struktur ELF_LOGFILE_HEADER
Protokolleintragsstruktur
Windows 10-Ereignisprotokolle
Forensische Analyse von Ereignisprotokollen
Windows-Forensik-Tools
LINUX Forensics Shell-Befehle Linux-Protokolldateien, flüchtige Datenerfassung, nichtflüchtige Datenerfassung, Auslagerungsbereich
Shell-Befehle
Linux-Protokolldateien
Volatile Datenerfassung
Nichtflüchtige Datenerfassung
Bereich tauschen
MAC Forensics Einführung in MAC Forensics MAC Forensics Datenprotokolldateiverzeichnisse MAC Forensics Tools
Einführung in die MAC-Forensik
Forensische MAC-Daten
Protokolldateien
Kataloge
MAC-Forensik-Tools
Entdecken und extrahieren Sie Materialien zur Analyse mit OSForensics
Abrufen von Informationen über laufende Prozesse mit Process Explorer
Analysieren von Ereignissen mit dem Ereignisprotokoll-Explorer
Durchführen forensischer Untersuchungen mit Helix
Sammeln flüchtiger Daten unter Linux
Analyse nichtflüchtiger Daten unter Linux
Modul 7. Netzwerkuntersuchungen, Protokolle und Dumps des Netzwerkverkehrs (4 ac. H.)
Einführung in die Netzwerkforensik Was ist Netzwerkforensik Protokoll und Echtzeitanalyse Netzwerkschwachstellen Netzwerkangriffe Wo nach Beweisen gesucht werden kann
Was ist Netzwerkforensik?
Protokoll und Echtzeitanalyse
Schwachstellen im Netzwerk
Netzwerkangriffe
Wo nach Beweisen suchen
Grundlegende Protokollierungskonzepte Protokolldateien als Beweismittel Gesetze und Vorschriften Rechtmäßigkeit der Verwendung von Protokollen Aufzeichnungen regelmäßiger Aktivitäten als Beweismittel
Protokolldateien als Beweismittel
Gesetze und Richtlinien
Rechtmäßigkeit der Nutzung von Zeitschriften
Aufzeichnungen über regelmäßige Aktivitäten als Beweismittel
Ereigniskorrelation Was ist Ereigniskorrelation? Arten der Ereigniskorrelation. Voraussetzungen für die Ereigniskorrelation. Ansätze für Ereigniskorrelationen Sicherstellen, dass die Protokolldateien korrekt sind. Alles aufzeichnen. Zeit sparen. Warum die Zeit synchronisieren Computers? Was ist Network Time Protocol (NTP)? Verwendung mehrerer Sensoren. Verlieren Sie keine Protokolle
Was ist Ereigniskorrelation?
Arten der Ereigniskorrelation
Voraussetzungen für die Ereigniskorrelation
Ansätze zur Ereigniskorrelation
Sicherstellung der Genauigkeit von Protokolldateien
Notieren Sie alles
Zeit sparen
Warum Computerzeit synchronisieren?
Was ist Network Time Protocol (NTP)?
Verwendung mehrerer Sensoren
Verlieren Sie keine Zeitschriften
Protokollverwaltung, Protokollverwaltung, Infrastrukturfunktionen, Protokollverwaltungsprobleme, Lösung von Protokollverwaltungsproblemen Zentralisierte Protokollierung Syslog-Protokoll Gewährleistung der Systemintegrität Kontrollieren Sie den Zugriff auf Protokolle Digitale Signatur, Verschlüsselung und Prüfsummen
Funktionen der Protokollverwaltungsinfrastruktur
Probleme bei der Protokollverwaltung
Lösen von Protokollverwaltungsproblemen
Zentralisierte Protokollierung
Syslog-Protokoll
Sicherstellung der Systemintegrität
Protokollzugriffskontrolle
Digitale Signatur, Verschlüsselung und Prüfsummen
Protokollanalyse, Netzwerk-Forensik, Engine, Protokollsammlung und Analysetools, Router-Protokollanalysesammlung Informationen aus der ARP-Tabelle. Analysieren von Firewall-Protokollen. Analysieren von IDS-Protokollen. Analysieren von Honeypot-Protokollen. Analysieren von DHCP-Protokollen. Analysieren von Protokollen ODBC
Engine für forensische Netzwerkanalyse
Protokollerfassungs- und Analysetools
Analysieren von Router-Protokollen
Sammeln von Informationen aus der ARP-Tabelle
Firewall-Protokollanalyse
IDS-Protokollanalyse
Honeypot-Protokollanalyse
DHCP-Protokollanalyse
ODBC-Protokollanalyse
Untersuchung des Netzwerkverkehrs Warum Netzwerkverkehr untersuchen? Sammeln von Beweisen durch Sniffing von Wireshark – Sniffer N1 Netzwerkpaketanalysatoren
Warum den Netzwerkverkehr untersuchen?
Sammeln von Beweisen durch Schnüffeln
Wireshark – N1-Sniffer
Netzwerkpaketanalysatoren
IDS-Protokollanalyse
Dokumentation von Netzwerkbeweisen
Rekonstruktion von Beweisen
Protokollerfassung und -analyse mit GFI EventsManager
Erkunden von Syslog-Daten mit der XpoLog Center Suite
Untersuchen Sie Netzwerkangriffe mit Kiwi Log Viewer
Untersuchen Sie den Netzwerkverkehr mit Wireshark
Modul 8. Untersuchung des Hackings von Webservern (2 ac. H.)
Einführung in die Forensik von Webanwendungen. Herausforderungen bei der Architektur von Webanwendungen in der Forensik von Webanwendungen
Webanwendungsarchitektur
Probleme der forensischen Untersuchung von Webanwendungen
Untersuchen von Web-Angriffen Symptome eines Web-Anwendungsangriffs Übersicht über Bedrohungen durch Web-Anwendungen Untersuchen von Web-Angriffen
Symptome eines Webanwendungsangriffs
Überblick über Bedrohungen durch Webanwendungen
Web-Angriffsforschung
Untersuchen der IIS-Apache-Webserverprotokolle
IIS
Apache
Untersuchung von Cross-Site-Scripting (XSS)-Angriffen
Untersuchung von SQL-Injection-Angriffen
Untersuchung von Cross-Site-Request-Forgery-Angriffen (CSRF).
Untersuchung von Code-Injection-Angriffen
Untersuchung von Cookie-Poisoning-Angriffen
Tools zur Erkennung von Webangriffen
Analyse von Domänen und IP-Adressen
Untersuchung eines Angriffs auf einen Webserver
Modul 9. Untersuchung des Hacks von Datenbankservern (2 ac. H.)
Forensische Untersuchung von Datenbankmanagementsystemen (DBMS)
MSSQL-Forensik Datenspeicherung im SQL-Server Wo man Beweise im DBMS findet Sammlung flüchtiger Daten Datendateien und aktive Transaktionsprotokolle Protokollsammlung aktive Transaktionen Datenbankplan-Cache SQL Server-Ereignisse in Windows-Protokollen SQL Server-Tracedateien SQL Server-Fehlerprotokolle MS-Forensik-Tools SQL
Speichern von Daten im SQL-Server
Wo finden Sie Beweise im DBMS?
Volatile Datenerfassung
Datendateien und aktive Transaktionsprotokolle
Sammeln aktiver Transaktionsprotokolle
Datenbankplan-Cache
SQL-Server-Ereignisse in Windows-Protokollen
SQL Server-Tracedateien
SQL Server-Fehlerprotokolle
Forensische Tools für MS SQL
MySQL Forensics MySQL-Architektur Datenkatalogstruktur MySQL Forensics Informationsschema anzeigen MySQL Forensics Tools
MySQL-Architektur
Datenverzeichnisstruktur
MySQL-Forensik
Anzeigen eines Informationsschemas
MySQL-Forensik-Tools
Beispiele für forensische MySQL-Analysen
Extrahieren von Datenbanken von einem Android-Gerät mit Andriller
Analysieren von SQLite-Datenbanken mit DB Browser für SQLite
Führen Sie eine forensische Analyse einer MySQL-Datenbank durch
Modul 10. Untersuchung von Cloud-Technologien (2 ac. H.)
Cloud-Computing-Konzepte, Arten von Cloud-Computing, Trennung von Verantwortlichkeiten in der Cloud, Cloud-Bereitstellungsmodelle, Bedrohungen durch Cloud-Technologien, Angriffe auf Cloud-Lösungen
Arten von Cloud Computing
Trennung der Verantwortlichkeiten in der Cloud
Cloud-Bereitstellungsmodelle
Bedrohungen durch Cloud-Technologien
Angriffe auf Cloud-Lösungen
Cloud-Forensik
Verbrechen in der Cloud Fallstudie: Die Cloud als Subjekt Fallstudie: Die Cloud als Objekt Fallstudie: Die Cloud als Werkzeug
Fallstudie: Cloud als Thema
Fallstudie: Cloud als Objekt
Fallstudie: Cloud als Werkzeug
Cloud-Forensik: Stakeholder und ihre Rollen
Cloud-Forensik-Probleme, Architektur und Identifizierung, Datenerfassung, Protokolle, rechtliche Aspekte, Analyse, Forensik-Problemkategorien
Architektur und Identität
Datensammlung
Zeitschriften
Legale Aspekte
Analyse
Kategorien forensischer Probleme
Cloud-Speicherforschung
Forensische Untersuchung des Dropbox-Dienstes Artefakte des Dropbox-Webportals Artefakte des Dropbox-Clients unter Windows
Artefakte des Dropbox-Webportals
Artefakte des Dropbox-Clients unter Windows
Forensische Untersuchung des Google Drive-Dienstes. Artefakte des Google Drive-Webportals. Artefakte des Google Drive-Clients in Windows
Artefakte des Google Drive-Webportals
Artefakte des Google Drive-Clients unter Windows
Cloud-Forensik-Tools
Forensische DropBox-Analyse
Forensische Analyse von Google Drive
Modul 11. Untersuchung von Schadsoftware (4 ac. H.)
Malware-Konzepte Arten von Malware Verschiedene Arten, wie Malware ein System infiltriert Gängige Methoden, mit denen Angreifer Malware online verbreiten. Komponenten Schadsoftware
Arten von Malware
Verschiedene Möglichkeiten für Schadsoftware, in ein System einzudringen
Gängige Methoden, mit denen Angreifer Malware online verbreiten
Malware-Komponenten
Malware-Forensik: Warum die Identifizierung und Extraktion von Malware analysieren? Malware-Labor für Malware-Analyse. Vorbereitung eines Prüfstands für die Malware-Analyse Programme
Warum Malware analysieren?
Identifizierung und Extraktion von Malware
Labor für Malware-Analyse
Vorbereiten eines Prüfstands für die Malware-Analyse
Tools zur Malware-Analyse
Allgemeine Regeln für die Malware-Analyse
Organisatorische Fragen der Malware-Analyse
Arten der Malware-Analyse
Statische Analyse Statische Malware-Analyse: Datei-Fingerprinting Online-Malware-Analysedienste Lokal und Netzwerk-Malware-Scanning. Durchführen von String-Suchen. Identifizieren von Verpackungs-/Verschleierungsmethoden. Finden Sie Informationen über Portable Executables (PE) Bestimmen von Dateiabhängigkeiten Zerlegen von Malware Analysetools Schadsoftware
Statische Malware-Analyse: Datei-Fingerprinting
Online-Dienste zur Malware-Analyse
Lokale und Netzwerk-Malware-Scans
Durchführen einer Zeichenfolgensuche
Definieren von Verpackungs-/Verschleierungsmethoden
Informationen zu tragbaren ausführbaren Dateien (PE) finden
Bestimmen von Dateiabhängigkeiten
Malware zerlegen
Tools zur Malware-Analyse
Dynamische Analyse, Prozessüberwachung, Datei- und Ordnerüberwachung, Registrierungsüberwachung, Netzwerkaktivitätsüberwachung, Überwachung Ports Überwachung von DNS-Überwachung von API-Aufrufen Überwachung von Gerätetreibern Überwachung von Startprogrammen Überwachung von Diensten Windows
Prozessüberwachung
Überwachung von Dateien und Ordnern
Registrierungsüberwachung
Überwachung der Netzwerkaktivität
Hafenüberwachung
DNS-Überwachung
API-Aufrufüberwachung
Gerätetreiberüberwachung
Überwachung von Startprogrammen
Überwachung von Windows-Diensten
Analyse bösartiger Dokumente
Probleme bei der Malware-Analyse
Durchführen einer statischen Analyse einer verdächtigen Datei
Dynamische Malware-Analyse
Analyse einer schädlichen PDF-Datei
Scannen Sie PDF-Dateien mithilfe von Netzwerkressourcen
Scannen verdächtiger Bürodokumente
Modul 12. Forensische Untersuchung von E-Mails (2 ac. H.)
E-Mail-System E-Mail-Clients E-Mail-Server SMTP-Server POP3-Server IMAP-Server Die Bedeutung der Verwaltung elektronischer Dokumente
Mail-Clients
E-Mail-Server
SMTP-Server
POP3-Server
IMAP-Server
Die Bedeutung des elektronischen Dokumentenmanagements
Straftaten im Zusammenhang mit E-Mail-Spam, Mail-Hacking, Mail-Storm, Phishing, E-Mail-Spoofing Mail Illegale Nachrichten Identitätsbetrug Kettenbriefe Kriminell Chronik
Spam
Mail-Hacking
Mailsturm
Phishing
E-Mail-Spoofing
Unzulässige Nachrichten
Identitätsbetrug
Glücksbriefe
Kriminalchronik
E-Mail-Nachricht E-Mail-Nachrichtenkopfzeilen Liste gängiger E-Mail-Kopfzeilen
E-Mail-Header
Liste typischer E-Mail-Header
Schritte zur Untersuchung von E-Mail-Verbrechen. Erlangung der Genehmigung zur Durchsuchung, Beschlagnahme und Untersuchung von E-Mail-Nachrichten E-Mail-Nachrichten kopieren. Nachrichtenkopfzeilen in Microsoft Outlook in AOL in Apple Mail in Gmail in Yahoo Mail anzeigen. E-Mail-Nachrichtenkopfzeilen analysieren Überprüfen zusätzlicher Dateien (.pst / .ost) Überprüfen der E-Mail-Gültigkeit Untersuchen von IP-Adressen Verfolgen von E-Mail-Ursprüngen Überprüfen von Informationen Header Webmail-Tracking Sammeln von E-Mail-Archiven E-Mail-Archive Inhalte von E-Mail-Archiven Lokales Archiv Server-Archiv Wiederherstellung gelöschte E-Mails Untersuchen von E-Mail-Protokollen Linux-E-Mail-Serverprotokolle >Microsoft Exchange-E-Mail-Serverprotokolle Serverprotokolle Novell-E-Mail
Einholung der Erlaubnis zur Inspektion, Beschlagnahme und Untersuchung
E-Mail-Recherche
E-Mail-Nachrichten kopieren
Anzeigen von Nachrichtenkopfzeilen in Microsoft Outlook in AOL in Apple Mail in Gmail in Yahoo Mail
in Microsoft Outlook
auf AOL
in Apple Mail
in Gmail
in Yahoo Mail
Analysieren von E-Mail-Headern Überprüfen zusätzlicher Dateien (.pst / .ost) Überprüfen der E-Mail-Gültigkeit Recherchieren von IP-Adressen
Zusätzliche Dateien prüfen (.pst / .ost)
E-Mail-Validierungsprüfung
Recherche von IP-Adressen
E-Mail-Ursprungsverfolgung. Überprüfung der Header-Informationen. Webmail-Verfolgung
Header-Informationen prüfen
Webmail-Tracking
Sammlung von E-Mail-Archiven E-Mail-Archive Inhalte von E-Mail-Archiven Lokales Archiv Server-Archiv Wiederherstellen gelöschter E-Mails
E-Mail-Archive
Inhalte von E-Mail-Archiven
Lokales Archiv
Serverarchiv
Gelöschte E-Mails wiederherstellen
Untersuchen von E-Mail-Protokollen Linux-E-Mail-Serverprotokolle > Microsoft Exchange-E-Mail-Serverprotokolle Novell-E-Mail-Serverprotokolle
Protokolle des Linux-E-Mail-Servers
>Microsoft Exchange-E-Mail-Serverprotokolle
Novell-E-Mail-Serverprotokolle
Forensische Tools
Gesetze zur E-Mail-Kriminalität
Stellen Sie gelöschte E-Mails mit „Meine E-Mail wiederherstellen“ wieder her
Cyber-Kriminalitätsforschung mit Paraben Email Examiner
Verfolgen einer E-Mail mit eMailTrackerPro
Modul 13. Untersuchung des Hackings mobiler Geräte (2 ac. H.)
Forensische Untersuchung mobiler Geräte Die Notwendigkeit einer forensischen Untersuchung Hauptbedrohungen für mobile Geräte
Die Notwendigkeit einer forensischen Untersuchung
Top-Bedrohungen für Mobilgeräte
Mobile Geräte und Forensik
Mobiles Betriebssystem und Forensik, Architekturschichten mobiler Geräte, Android-Architekturstapel, Android-Boot-Prozess iOS-Architektur iOS-Startvorgang Normaler und DFU-Start iPhone-Start im DFU-Modus Mobiler Speicher und Beweisbereiche
Architekturschichten mobiler Geräte
Android-Architekturstapel
Android-Bootvorgang
iOS-Architektur
iOS-Downloadvorgang
Booten im Normalmodus und im DFU-Modus
Starten Sie das iPhone im DFU-Modus
Mobile Lagerung und Beweissicherung
Was ist vor der Untersuchung zu tun? Bereiten Sie einen forensischen Arbeitsplatz vor. Stellen Sie ein Ermittlungsteam zusammen. Berücksichtigen Sie Richtlinien und Gesetze, Genehmigungen für Forschungsarbeiten einholen, Risiken bewerten, eine Reihe forensischer Tools erstellen Untersuchung
Bereiten Sie einen Arbeitsplatz für die forensische Untersuchung vor
Bauen Sie ein Ermittlungsteam auf
Berücksichtigen Sie Richtlinien und Gesetze
Holen Sie die Erlaubnis zur Forschung ein
Bewerten Sie Risiken
Erstellen Sie eine Reihe forensischer Tools
Beweisanalyse für Mobiltelefone
Forensikprozess für Mobilgeräte Sammeln von Beweisen Dokumentieren eines Tatorts Dokumentieren von Beweisen Sichern von Beweisen Eine Reihe von Regeln für die Handhabung Mobiltelefon Eindämmung des Mobilfunksignals Verpackung, Transport und Lagerung von Beweismitteln Bildbearbeitungstools zur Erstellung mobiler Disk-Images Geräte Telefonsperre umgehen Android-Telefonsperre umgehen Passwort iPhone-Code umgehen Aktivieren des USB-Debugging Techniken zum Entfernen des Plattformschutzes Sammlung und Analyse Informationen Sammlung von Beweisen von mobilen Geräten Datenerfassungsmethoden Mobilfunknetz Subscriber Identity Module (SIM) Logische Datenerfassung Physische Datenerfassung Isolation homogene Datensätze SQLite-Datenbankextraktion Mobile Datenerfassungstools Erstellen eines Untersuchungsberichts Vorlage für einen Untersuchungsbericht Mobilgerät
Beweise sammeln
Einen Tatort dokumentieren, Beweise dokumentieren, Beweise sichern. Eine Reihe von Regeln für den Umgang Mobiltelefon Eindämmung des Mobiltelefonsignals Verpackung, Transport und Lagerung Beweis
Beweise dokumentieren
Beweissicherung
Eine Reihe von Regeln für den Umgang mit einem Mobiltelefon
Störung des Mobilfunksignals
Verpackung, Transport und Aufbewahrung von Beweismitteln
Entfernen eines Images Tools zum Erstellen eines Disk-Images mobiler Geräte Umgehen der Telefonsperre Bypass Android Phone Lock Password Bypass iPhone Code Aktivieren Sie USB-Debugging-Entfernungstechniken Plattformen
Tools zum Erstellen von Disk-Images mobiler Geräte
Telefonsperre umgehen
Umgehen Sie das Passwort für die Android-Telefonsperre
iPhone-Code-Umgehung
Aktivieren USB-Debugging
Techniken zum Entfernen des Plattformschutzes
Sammlung und Analyse von Informationen Sammlung von Beweisen von mobilen Geräten Datensammlungsmethoden Mobilfunknetz Teilnehmeridentifikationsmodul (SIM) Logische Sammlung Daten Physische Datenerfassung Isolierung homogener Datensätze SQLite-Datenbankextraktion Tools zum Sammeln von Daten von mobilen Geräten
Sammeln von Beweisen über mobile Geräte
Datenerfassungsmethoden
Mobilfunk
Abonnentenidentitätsmodul (SIM)
Logische Datenerfassung
Physische Datenerfassung
Isolierung homogener Datenarrays
Extrahieren der SQLite-Datenbank
Mobile Datenerfassungstools
Erstellen Sie eine Vorlage für einen Untersuchungsbericht zu mobilen Geräten
Vorlage für einen Forschungsbericht zu Mobilgeräten
Forensische Analyse eines Mobilgerätebilds und Wiederherstellung gelöschter Dateien mithilfe von Autopsy
Recherche eines Android-Geräts mit Andriller
Modul 14. Erstellung eines Untersuchungsberichts (2 ac. H.)
Vorbereiten eines Untersuchungsberichts Forensischer Untersuchungsbericht Wichtige Aspekte einer guten Berichtsvorlage Forensischer Bericht. Klassifizierung von Berichten. Richtlinien zum Verfassen eines Berichts. Schreibtipps Bericht
Forensischer Untersuchungsbericht
Wichtige Aspekte eines guten Berichts
Vorlage für einen forensischen Wissenschaftsbericht
Klassifizierung melden
Leitfaden zum Verfassen eines Berichts
Tipps zum Schreiben eines Berichts
Aussage eines Sachverständigen Wer ist ein „Sachverständiger“? Die Rolle des Sachverständigen Zeugen Technischer Zeuge und Sachverständiger Dewbert Standard Freie Standardregeln des Guten Sachverständiger Die Bedeutung eines Lebenslaufs Berufsordnung eines Sachverständigen Vorbereitung auf die Aussage Zeugnis
Wer ist ein „Sachverständiger Zeuge“?
Die Rolle des Sachverständigen
Technischer Zeuge und Sachverständiger
Deubert-Standard
Kostenloser Standard
Regeln für einen guten Sachverständigen
Die Bedeutung eines Lebenslaufs
Berufsordnung für Sachverständige
Vorbereitung zur Aussage
Zeugenaussage vor Gericht Allgemeine Vorgehensweisen bei Gerichtsverfahren Allgemeine Ethik bei Zeugenaussagen Die Bedeutung von Grafiken bei Zeugenaussagen So vermeiden Sie Probleme mit Zeugenaussage Zeugenaussage während der direkten Vernehmung Zeugenaussage während des Kreuzverhörs In den Materialien enthaltene Zeugenaussage Angelegenheiten
Allgemeine Vorgehensweise bei Gerichtsverfahren
Allgemeine Ethik bei der Aussage
Die Bedeutung von Grafiken in Lesungen
So vermeiden Sie Probleme beim Lesen
Zeugenaussage bei direkter Vernehmung
Aussage im Kreuzverhör
Aussage zur Akte hinzugefügt
Arbeiten mit den Medien
Erstellung eines Untersuchungsberichts zum Vorfall
Modul 15. Abschlusstest (4 ak. H.)