Investigação de incidentes de hackers. Fundamentos de ciência forense - curso 179.990 rublos. de Especialista, treinamento, Data 20 de janeiro de 2024.
Miscelânea / / December 02, 2023
O programa do curso estabelece as bases da ciência forense - a ciência aplicada à resolução de crimes cibernéticos, pesquisando e analisando evidências digitais. O curso sobre investigação de incidentes de hackers fornecerá diretrizes e orientações claras em seu desenvolvimento. Nesta aula você aprenderá como identificar, investigar e eliminar com sucesso as consequências de crimes informáticos. Você aprenderá o procedimento para identificar se um hacker invadiu um sistema e receberá recomendações para monitorar as ações de um potencial invasor.
O curso está desenhado de forma a que os novos conhecimentos teóricos sejam necessariamente apoiados numa prática o mais próxima possível dos casos reais. Você reforçará a teoria realizando trabalhos de laboratório (são 39 no total), que incluem prática investigações de crimes cibernéticos usando e-mail, plataformas móveis e em nuvem Serviços.
Este curso é ideal para você se você:
O curso também cobre recuperação de desastres de sistemas. .
Você vai aprender:
pesquisar, obter e analisar evidências digitais;
investigar incidentes resultantes de técnicas de hacking;
aplicar métodos e técnicas de investigações cibernéticas forenses;
interpretar os dados recolhidos no contexto de uma investigação de incidente informático.
Módulo 1. A informática forense no mundo moderno (2 ac. h.)
O que é computação forense
Aplicação de computação forense
Tipos de crimes informáticos
Estudo de caso. Exemplos de investigações de crimes informáticos
Dificuldades do exame forense
Investigação de crimes cibernéticos
Investigação civil
Investigação criminal
Investigação administrativa
Estudo de caso. Exemplos de tipos de investigação
Regras de exame médico forense
Investigação de crimes cometidos por grupos criminosos organizados (Teoria Empresarial da Investigação)
Evidência digital
O que é evidência digital
Tipos de evidências digitais
Características das Evidências Digitais
O papel da evidência digital
Fontes de evidências potenciais
Regras para coleta de evidências
Melhor Requisito de Evidência
Código de Evidência
Provas derivadas
Grupo de Trabalho Científico sobre Evidências Digitais (SWGDE)
Preparação para investigação forense
Análise Forense Computacional como Parte de um Plano de Resposta a Incidentes
A necessidade de computação forense
Funções e responsabilidades de um investigador forense
Problemas de investigação forense
Questões legais
Questões de privacidade
Regras de ética
Recursos de informática forense
Aprendendo os fundamentos da investigação de crimes informáticos
Preparando o laboratório para experimentos práticos
Módulo 2. O processo de investigação de incidentes informáticos (2 ac. h.)
A importância do processo de investigação
Fases do processo de investigação
Fase preliminar da investigação Preparação do laboratório forense Formação de uma equipe investigativa Revisão de políticas e leis Estabelecer processos de garantia de qualidade Compreender os padrões de destruição de dados Avaliação risco
Preparação de laboratório forense
Construção da equipe de investigação
Revisão de Políticas e Leis
Criando Processos de Qualidade
Introdução aos padrões de destruição de dados
Avaliação de risco
Fase de investigação Processo de investigação Metodologia de investigação: resposta rápida Metodologia de investigação: busca e apreensão Conduta Entrevistas preliminares Planejamento de busca e apreensão Mandados de busca e apreensão Questões de saúde e segurança Avaliação de segurança e cena do crime: lista de controle
Processo de investigação
Metodologia de investigação: resposta rápida
Metodologia de investigação: busca e apreensão
Conduzindo entrevistas preliminares
Planejamento para inspeção e apreensão
Mandado de Busca e Apreensão
Questões de saúde e segurança
Defesa e avaliação da cena do crime: lista de verificação
Metodologia de investigação: coleta de evidências Coleta de evidências físicas Formulário de coleta de evidências Coleta e preservação de evidências eletrônicas Trabalho com computadores ligados Trabalhar com computadores desligados Trabalhar com um computador em rede Trabalhar com arquivos abertos e de inicialização Procedimento desligando o sistema operacional Trabalhando com estações de trabalho e servidores Trabalhando com laptops Trabalhando com laptops ligados computadores
Coleta de evidências
Formulário de coleta de evidências
Coleta e preservação de evidências eletrônicas
Trabalhar com computadores ligados
Trabalhando com computadores desligados
Trabalhando com um computador em rede
Trabalhando com arquivos abertos e arquivos de inicialização
Procedimento para desligar o sistema operacional
Trabalhando com estações de trabalho e servidores
Trabalhando com laptops
Trabalhar com laptops ligados
Metodologia de investigação: proteção de evidências Gestão de evidências Procedimento para transferência e armazenamento de evidências Embalagem e transporte de provas eletrônicas Numeração de provas físicas Armazenamento de provas eletrônicas evidência
Gerenciamento de evidências
Procedimento para transferência e armazenamento de provas
Embalagem e transporte de evidências eletrônicas
Numeração de evidências físicas
Armazenamento de evidências eletrônicas
Metodologia de Investigação: Coleta de Dados Guia de Coleta de Dados Duplicação de Dados Verificação de Integridade de Imagem Recuperação de Dados
Guia de coleta de dados
Duplicação de dados
Verificando a integridade da imagem
Recuperação de dados
Metodologia de Investigação: Análise de Dados Processo de Análise de Dados Software de Análise de Dados
Processo de análise de dados
Software de análise de dados
Estágio pós-investigação
Metodologia de investigação: avaliação das provas Avaliação das provas encontradas Incorporação das provas no caso Processamento da avaliação locais Coleta de dados de redes sociais Recomendações para pesquisar redes sociais Recomendações para avaliação de evidências
Avaliando as evidências encontradas
Adicionando evidências ao caso
Processando estimativa de localização
Coleta de dados de redes sociais
Diretrizes de pesquisa em mídias sociais
Diretrizes para avaliação de evidências
Metodologia de investigação: documentação e relatórios Documentação para cada fase da investigação Coleta e organização de informações Redação de um relatório de investigação
Documentação para cada fase da investigação
Coletando e organizando informações
Escrevendo um relatório de pesquisa
Metodologia de investigação: depoimento pericial Atuação como perito Encerramento do processo
Servindo como perito
Fechando o caso
Conduta profissional
Estudo e aplicação prática de ferramentas de software necessárias ao processo de investigação forense
Módulo 3. Discos rígidos e sistemas de arquivos (4 ac. h.)
Visão geral dos discos rígidos Discos rígidos (HDD) Unidades de estado sólido (SSD) Estrutura física de um disco rígido Estrutura lógica de um disco rígido Tipos de interfaces de disco rígido Interfaces de disco rígido discos Rastreia setores Clusters Setores defeituosos Bits, bytes e nibbles Endereçamento de dados em um disco rígido Densidade de dados em um disco rígido Calculando a capacidade do disco Medindo o desempenho do disco rígido disco
Discos rígidos (HD)
Unidades de estado sólido (SSD)
Estrutura física de um disco rígido
Estrutura lógica de um disco rígido
Tipos de interfaces de disco rígido
Interfaces de disco rígido
Faixas
Setores
Aglomerados
Setores defeituosos
Bit, byte e mordidela
Endereçando dados em um disco rígido
Densidade de dados do disco rígido
Cálculo da capacidade do disco
Medição de desempenho do disco rígido
Partições de disco e o processo de inicialização Partições de disco Bloco de parâmetros do BIOS Registro mestre de inicialização (MBR) Identificador exclusivo global (GUID) O que é o processo de inicialização? Arquivos principais do sistema do Windows Processo de inicialização do Windows GUID Identificação da tabela de partição Cabeçalho GPT e análise de entrada Artefatos GPT Processo de inicialização do Macintosh Processo de inicialização do Linux
Partições de disco
Bloco de parâmetros do BIOS
Registro mestre de inicialização (MBR)
Identificador globalmente exclusivo (GUID)
Qual é o processo de download?
Arquivos básicos de sistema do Windows
Processo de inicialização do Windows
Identificação da tabela de partição GUID
Análise de cabeçalho e registros GPT
Artefatos GPT
Processo de inicialização do Macintosh
Processo de inicialização do Linux
Sistemas de arquivos Noções básicas sobre sistemas de arquivos Tipos de sistemas de arquivos Sistemas de arquivos Windows Sistemas de arquivos Linux Sistemas de arquivos Mac OS X Sistema de arquivos Oracle Solaris 11: Sistema de arquivos de CD-ROM/DVD ZFS Sistema de arquivos de disco compacto (CDFS) Sistema de arquivos virtual (VFS) Sistema de arquivos de disco versátil (UDF)
Informações gerais sobre sistemas de arquivos
Tipos de sistema de arquivos
Sistemas de arquivos do Windows
Sistemas de arquivos Linux
Sistemas de arquivos Mac OS X
Sistema de arquivos Oracle Solaris 11: ZFS
Sistema de arquivos CD-ROM/DVD
Sistema de arquivos de disco compacto (CDFS)
Sistema de arquivos virtuais (VFS)
Sistema de arquivos de disco universal (UDF)
Sistema de armazenamento RAID Níveis RAID Host Protected Areas (HPAs)
Níveis de RAID
Áreas Protegidas de Hospedagem (HPAs)
Análise do sistema de arquivos Isolamento de conjuntos de dados homogêneos Análise de arquivos de imagem (JPEG, BMP, formatos de arquivo de imagem hexadecimal) Análise de arquivos PDF Análise de arquivos Word Análise de palavras Arquivos PPT Análise de arquivos Excel Visualização hexadecimal de formatos de arquivos populares (vídeo, áudio) Análise do sistema de arquivos usando autópsia Análise do sistema de arquivos usando o The Sleuth Kit (TSK)
Isolamento de matrizes de dados homogêneas
Análise de arquivo de imagem (JPEG, BMP, formatos de arquivo de imagem hexadecimal)
Análise de arquivo PDF
Análise de arquivo Word
Análise de arquivo PPT
Análise de arquivo Excel
Representação hexadecimal de formatos de arquivo populares (vídeo, áudio)
Análise do sistema de arquivos usando Autopsy
Análise do sistema de arquivos usando o Sleuth Kit (TSK)
Recuperando arquivos excluídos
Análise do sistema de arquivos
Módulo 4. Recolha e duplicação de dados (2 ac. h.)
Conceitos de coleta e replicação de dados Visão geral da coleta de dados Tipos de sistemas de coleta de dados
Informações gerais sobre coleta de dados Tipos de sistemas de coleta de dados
Tipos de sistemas de aquisição de dados
Obtenção de dados em tempo real Ordem de volatilidade Erros típicos na coleta de dados voláteis Metodologia para coleta de dados voláteis
Ordem de volatilidade
Erros comuns ao coletar dados voláteis
Metodologia de Coleta de Dados Variáveis
Aquisição de dados estáticos Regras de dados estáticos de imagens duplicadas de imagens duplicadas Problemas de cópia de bits e cópia de dados de backup Etapas de coleta e duplicação Dados Preparando o formulário de envio de evidências Habilitando a proteção contra gravação na mídia de evidências Preparando a mídia de destino: Guia NIST SP 800-88 Determinando os métodos de formato de coleta de dados coleta de dados Determinar o melhor método de coleta de dados Selecionar uma ferramenta de coleta de dados Coletar dados de unidades RAID Aquisição remota de dados Erros na coleta de dados Planejamento situações de emergência
Dados estáticos
Regras de ouro
Imagens duplicadas
Cópia e backup de bits
Problemas ao copiar dados
Etapas para coletar e duplicar dados Preparar o formulário de transferência de evidências Habilitar proteção contra gravação na mídia de evidências Preparar o alvo Mídia: Guia NIST SP 800-88 Determinando o formato de coleta de dados Métodos de coleta de dados Determinando o melhor método de coleta de dados Selecionando ferramenta de coleta de dados Coleta de dados de discos RAID Aquisição remota de dados Erros na coleta de dados Planejamento de emergência situações
Preparando o Formulário de Provas
Ativando a proteção contra gravação em mídia de evidência
Preparando mídia de destino: Guia NIST SP 800-88
Definindo o formato de coleta de dados
Métodos de coleta de dados
Determinando o melhor método de coleta de dados
Selecionando uma ferramenta de coleta de dados
Coletando dados de discos RAID
Recuperação remota de dados
Erros na coleta de dados
Planejamento de contingência
Diretrizes para coleta de dados
Usando software para extrair dados de discos rígidos
Módulo 5. Técnicas que complicam a perícia forense (2 ac. h.)
O que é antiforense? Objetivos da antiforense
Objetivos da antiforense
Técnicas anti-forenses Exclusão de dados/arquivos O que acontece quando você exclui um arquivo no Windows? Lixeira do Windows Onde a Lixeira é armazenada em sistemas FAT e NTFS Como funciona a Lixeira Corrupção do arquivo INFO2 Corrupção de arquivos na Lixeira Danos ao diretório da Lixeira Recuperação arquivos Ferramentas de recuperação de arquivos no Windows Ferramentas de recuperação de arquivos no MAC OS X Recuperação de arquivos no Linux Recuperação de partições excluídas Proteção por senha Tipos de senha Como funciona um cracker de senhas Técnicas de quebra de senha Senhas padrão usando tabelas Rainbow para quebrar hash Autenticação da Microsoft Quebrando senhas do sistema Ignorando senhas do BIOS Ferramentas para redefinir senhas de administrador Ferramentas para quebrar senhas de aplicativos Ferramentas para quebrar senhas de sistema Esteganografia e esteganálise Esconder dados em estruturas sistema de arquivos Ofuscação de rastros Apagamento de artefatos Reescrita de dados e metadados Criptografia Criptografia do sistema de arquivos (EFS) Ferramentas de recuperação de dados EFS Encrypted protocolos de rede Packers Rootkits Detectando rootkits Etapas para detectar rootkits Minimizando rastros Explorando bugs em ferramentas forenses Detecção ferramentas forenses
Excluindo dados/arquivos O que acontece quando você exclui um arquivo no Windows?
O que acontece quando você exclui um arquivo no Windows?
Lixeira do Windows Onde a Lixeira é armazenada em sistemas FAT e NTFS Como funciona a Lixeira Corrupção do arquivo INFO2 Corrupção de arquivos na Lixeira Corrupção do diretório da Lixeira
Local de armazenamento da lixeira em sistemas FAT e NTFS
Como funciona o carrinho de compras
Corrupção do arquivo INFO2
Danos aos arquivos na Lixeira
Corrupção do diretório da Lixeira
Recuperação de arquivos Ferramentas de recuperação de arquivos no Windows Ferramentas de recuperação de arquivos no MAC OS X Recuperação de arquivos no Linux Recuperação de partições excluídas
Ferramentas de recuperação de arquivos no Windows
Ferramentas de recuperação de arquivos no MAC OS X
Recuperação de arquivos no Linux
Recuperando partições excluídas
Proteção de senha Tipos de senhas Como funciona um cracker de senhas Técnicas de cracking de senha Senhas padrão Usando tabelas arco-íris para quebrar hashes Autenticação da Microsoft Hackeando senhas do sistema Ignorando senhas do BIOS Ferramentas para redefinir a senha do administrador Ferramentas para quebrar senhas de aplicativos Ferramentas para quebrar senhas do sistema senhas
Tipos de senha
O trabalho de um cracker de senha
Técnicas de quebra de senha
Senhas padrão
Usando tabelas arco-íris para quebrar hashes
Autenticação Microsoft
Hackeando senhas do sistema
Ignorar senhas do BIOS
Ferramentas para redefinir a senha do administrador
Ferramentas para quebrar senhas de aplicativos
Ferramentas para quebrar senhas do sistema
Esteganografia e esteganálise
Ocultando dados nas estruturas do sistema de arquivos
Ofuscação de vestígios
Apagando artefatos
Reescrevendo dados e metadados
Criptografia Sistema de arquivos criptografados (EFS) Ferramentas de recuperação de dados EFS
Criptografia do sistema de arquivos (EFS)
Ferramentas de recuperação de dados EFS
Protocolos de rede criptografados
Empacotadores
Rootkits Detectando Rootkits Etapas para detectar rootkits
Detecção de rootkit
Etapas para detectar rootkits
Minimizando pegadas
Explorando erros em ferramentas forenses
Detecção de ferramentas forenses
Contramedidas contra a anti-forense
Ferramentas que complicam o exame forense
Usando software para quebrar senhas de aplicativos
Detecção de esteganografia
Módulo 6. Exame forense de sistemas operacionais (4 ac. h.)
Introdução à análise forense de sistema operacional
Análise forense WINDOWS
Metodologia forense do Windows Coletando informações voláteis Sistema Tempo Usuários registrados Arquivos abertos Rede Rede de informações conexões Informações do processo Mapeamentos de processos e portas Memória do processo Status da rede Imprimir arquivos em spool Outras informações importantes Coletando informações não voláteis Sistemas de arquivos Configurações de registro Identificadores de segurança (SIDs) Logs de eventos Arquivo de banco de dados ESE Dispositivos conectados Slack Space Memória virtual Arquivos de hibernação Arquivo paginação Índice de pesquisa Localizar partições ocultas Fluxos alternativos ocultos Outras informações não voláteis Análise de memória do Windows Discos rígidos virtuais (VHD) Despejo de memória Estrutura do EProcess Mecanismo de criação de processos Analisando o conteúdo da memória Analisando a memória do processo Extraindo uma imagem do processo Coletando o conteúdo da memória do processo Analisando o registro do Windows Registro Dispositivo Estrutura de registro Registro como um arquivo de log Análise de registro Informações do sistema Informações sobre fuso horário Pastas públicas Serviço SSIDs sem fio cópia de sombra de volume Inicialização do sistema Login do usuário Atividade do usuário Chaves de registro de inicialização Dispositivos USB Dispositivos montados Rastreamento de atividades usuários Chaves UserAssist Listas MRU Conexão com outros sistemas Análise de ponto de recuperação Determinação de locais de inicialização Análise de cache, cookies e histórico Mozilla Firefox Google Chrome Microsoft Edge e Internet Explorer Análise de arquivos do Windows Pontos de restauração do sistema Pré-busca de arquivos Atalhos Arquivos de imagem Pesquisa de metadados O que são tipos de metadados metadados Metadados em diferentes sistemas de arquivos Metadados em arquivos PDF Metadados em documentos Word Ferramentas de análise de metadados Logs O que são eventos Tipos de eventos de login sistema Formato de arquivo de log de eventos Organização de registros de eventos Estrutura ELF_LOGFILE_HEADER Estrutura de registro de log Logs de eventos do Windows 10 Análise de log forense Ferramentas forenses do Windows para eventos
Coleta de informações voláteis Hora do sistema Usuários registrados Arquivos abertos Informações da rede Rede conexões Informações do processo Mapeamentos de processos e portas Memória do processo Status da rede Arquivos de spooler de impressão Outros importantes Informação
Hora do sistema
Usuários registrados
Abrir arquivos
Informações de rede
Conexões de rede
Processo de informação
Mapeamento de processos e portas
Memória de processo
Status da rede
Imprimir arquivos da fila
Outras informações importantes
Coleta de informações não voláteis Sistemas de arquivos Configurações de registro Identificadores de segurança (SIDs) Logs de eventos Arquivo de banco de dados ESE Dispositivos conectados Slack Space Memória Virtual Arquivos de Hibernação Índice de Pesquisa de Arquivos de Página Encontrar Partições Ocultas Fluxos Alternativos Ocultos Outros Não Voláteis Informação
Sistemas de arquivos
Configurações de registro
Identificadores de segurança (SIDs)
Registros de eventos
Arquivo de banco de dados ESE
Dispositivos conectados
Espaço livre
Memória virtual
Hibernar arquivos
Trocar arquivo
Índice de pesquisa
Encontre seções ocultas
Fluxos alternativos ocultos
Outras informações não voláteis
Análise de memória do Windows Discos rígidos virtuais (VHD) Despejo de memória Mecanismo de criação de estrutura EProcess processo Analisando o conteúdo da memória Analisando a memória do processo Extraindo uma imagem do processo Coletando o conteúdo da memória processo
Discos rígidos virtuais (VHD)
Despejo de memória
Estrutura do EProcess
Mecanismo de criação de processo
Análise de conteúdo de memória
Análise de memória de processo
Recuperando uma imagem de processo
Coletando conteúdo da memória do processo
Análise do registro do Windows Registro Dispositivo Estrutura do registro Registro como um arquivo de log Análise do registro Informações do sistema Informações sobre fuso horário Pastas públicas SSIDs sem fio Serviço de cópia de sombra de volume Inicialização do sistema Login do usuário Atividade do usuário Chaves de registro de inicialização USB dispositivos Dispositivos montados Rastreamento de atividade do usuário Chaves UserAssist Listas MRU Conexão com outros sistemas Análise do ponto de recuperação Determinando locais de lançamento
Dispositivo de registro
Estrutura do registro
Registro como um arquivo de log
Análise de Registro
Informação do sistema
Informações de fuso horário
Pastas partilhadas
SSIDs sem fio
Serviço de cópia de sombra de volume
Inicialização do sistema
Login de usuário
Atividade do usuário
Chaves de registro de inicialização
Dispositivos USB
Dispositivos montáveis
Rastreamento de atividades do usuário
Chaves do UserAssist
Listas MRU
Conectando-se a outros sistemas
Análise de ponto de recuperação
Determinando locais de lançamento
Análise de cache, cookies e histórico Mozilla Firefox Google Chrome Microsoft Edge e Internet Explorer
Mozilla Firefox
Google Chrome
Microsoft Edge e Internet Explorer
Análise de arquivos do Windows Pontos de restauração do sistema Pré-busca de arquivos Atalhos Arquivos de imagem
Pontos de restauração do sistema
Pré-buscar arquivos
Atalhos
Arquivos de imagem
Pesquisa de metadados O que são metadados Tipos de metadados Metadados em diferentes sistemas de arquivos Metadados em arquivos PDF Metadados em documentos do Word Ferramentas de análise de metadados
O que são metadados
Tipos de metadados
Metadados em diferentes sistemas de arquivos
Metadados em arquivos PDF
Metadados em documentos do Word
Ferramentas de análise de metadados
Logs O que são eventos Tipos de login Eventos Formato de arquivo de log de eventos Organização de registros de eventos Estrutura ELF_LOGFILE_HEADER Estrutura de registro de log Logs de eventos do Windows 10 Análise de log forense eventos
O que são eventos
Tipos de eventos de login
Formato de arquivo de log de eventos
Organização de registros de eventos
Estrutura ELF_LOGFILE_HEADER
Estrutura de entrada de log
Registros de eventos do Windows 10
Análise forense de logs de eventos
Ferramentas forenses do Windows
LINUX Forensics Shell Commands Arquivos de log do Linux Coleta de dados voláteis Área de troca de coleta de dados não voláteis
Comandos de shell
Arquivos de log do Linux
Coleta de dados voláteis
Coleta de dados não voláteis
Área de troca
MAC Forensics Introdução ao MAC Forensics Arquivos de registro de dados MAC Forensics Diretórios Ferramentas MAC Forensics
Introdução à análise forense MAC
Dados forenses MAC
Arquivos de registro
Catálogos
Ferramentas forenses MAC
Descubra e extraia materiais para análise usando OSForensics
Recuperando informações sobre processos em execução usando o Process Explorer
Analisando eventos usando o Event Log Explorer
Realizando investigação forense usando Helix
Coletando dados voláteis no Linux
Análise de dados não voláteis no Linux
Módulo 7. Investigações de rede, logs e dumps de tráfego de rede (4 ac. h.)
Introdução à análise forense de rede O que é análise forense de rede Log e análise em tempo real Vulnerabilidades de rede Ataques de rede Onde procurar evidências
O que é análise forense de rede
Log e análise em tempo real
Vulnerabilidades de rede
Ataques de rede
Onde procurar evidências
Conceitos básicos de registro Arquivos de registro como evidência Leis e regulamentos Legalidade do uso de registros Registros de atividades regulares como evidência
Arquivos de log como evidência
Leis e regulamentos
Legalidade do uso de revistas
Registros de atividades regulares como prova
Correlação de eventos O que é correlação de eventos Tipos de correlação de eventos Pré-requisitos para correlação de eventos Abordagens para correlações de eventos Garantir que os arquivos de log sejam precisos Registrar tudo Economizando tempo Por que sincronizar o tempo computadores? O que é protocolo de tempo de rede (NTP)? Usando vários sensores Não perca registros
O que é correlação de eventos
Tipos de correlação de eventos
Pré-requisitos para correlação de eventos
Abordagens para correlação de eventos
Garantindo a precisão dos arquivos de log
Grave tudo
Economizando tempo
Por que sincronizar a hora do computador?
O que é protocolo de tempo de rede (NTP)?
Usando vários sensores
Não perca revistas
Gerenciamento de log Recursos de infraestrutura de gerenciamento de log Problemas de gerenciamento de log Solução de problemas de gerenciamento de log Registro centralizado Protocolo Syslog Garantir a integridade do sistema Controlar o acesso aos registros Assinatura digital, criptografia e somas de verificação
Recursos de infraestrutura de gerenciamento de logs
Problemas de gerenciamento de log
Resolvendo problemas de gerenciamento de log
Registro centralizado
Protocolo Syslog
Garantindo a integridade do sistema
Controle de acesso de log
Assinatura digital, criptografia e somas de verificação
Análise de log Rede Forensics Engine Coleta de log e ferramentas de análise Coleta de análise de log do roteador informações da tabela ARP Analisando logs de firewall Analisando logs IDS Analisando logs Honeypot Analisando logs DHCP Analisando logs ODBC
Mecanismo de análise forense de rede
Ferramentas de coleta e análise de logs
Analisando Logs do Roteador
Coletando informações da tabela ARP
Análise de log de firewall
Análise de log de IDS
Análise de log do Honeypot
Análise de log DHCP
Análise de log ODBC
Estudando o tráfego de rede Por que estudar o tráfego de rede? Coletando evidências por meio de sniffing Wireshark - analisadores de pacotes de rede sniffer N1
Por que estudar o tráfego de rede?
Coletando evidências por meio de cheirar
Wireshark – farejador N1
Analisadores de pacotes de rede
Análise de log de IDS
Documentando evidências de rede
Reconstrução de evidências
Coleta e análise de logs usando GFI EventsManager
Explorando dados syslog usando XpoLog Center Suite
Investigue ataques de rede usando o Kiwi Log Viewer
Investigue o tráfego de rede usando Wireshark
Módulo 8. Investigação de hacking de servidores web (2 ac. h.)
Introdução à análise forense de aplicações web Desafios da arquitetura de aplicações web na análise forense de aplicações web
Arquitetura de aplicativos da Web
Problemas de investigação forense de aplicações web
Investigando ataques na Web Sintomas de um ataque a aplicativos da Web Visão geral das ameaças a aplicativos da Web Investigando ataques na Web
Sintomas de um ataque a aplicativos da web
Visão geral das ameaças a aplicativos da web
Pesquisa de ataques na Web
Examinando os logs do servidor Web Apache IIS
IIS
Apache
Investigando ataques de cross-site scripting (XSS)
Investigando ataques de injeção SQL
Investigando ataques de falsificação de solicitação entre sites (CSRF)
Investigando ataques de injeção de código
Investigando ataques de envenenamento por cookies
Ferramentas de detecção de ataques na Web
Análise de domínios e endereços IP
Investigação de um ataque a um servidor web
Módulo 9. Investigação de invasão de servidores de banco de dados (2 ac. h.)
Exame forense de sistemas de gerenciamento de banco de dados (SGBD)
Análise forense de MSSQL Armazenamento de dados no servidor SQL Onde encontrar evidências no SGBD Coleta de dados voláteis Arquivos de dados e logs de transações ativas Coleta de logs transações ativas Cache do plano de banco de dados Eventos do SQL Server nos logs do Windows Arquivos de rastreamento do SQL Server Logs de erros do SQL Server Ferramentas forenses da MS SQL
Armazenando dados no servidor SQL
Onde você pode encontrar evidências no SGBD?
Coleta de dados voláteis
Arquivos de dados e logs de transações ativas
Coletando logs de transações ativas
Cache do plano de banco de dados
Eventos do SQL Server em logs do Windows
Arquivos de rastreamento do SQL Server
Logs de erros do SQL Server
Ferramentas forenses MS SQL
MySQL Forensics Arquitetura do MySQL Estrutura do catálogo de dados MySQL Forensics Visualizar esquema de informações MySQL Forensics Tools
Arquitetura MySQL
Estrutura de diretório de dados
Análise forense do MySQL
Visualizando um Esquema de Informações
Ferramentas forenses MySQL
Exemplos de análise forense do MySQL
Extraindo bancos de dados de um dispositivo Android usando Andriller
Analisando bancos de dados SQLite usando DB Browser para SQLite
Realize análise forense de um banco de dados MySQL
Módulo 10. Investigação de tecnologias de nuvem (2 ac. h.)
Conceitos de computação em nuvem Tipos de computação em nuvem Separação de responsabilidades na nuvem Modelos de implantação em nuvem Ameaças de tecnologias em nuvem Ataques a soluções em nuvem
Tipos de computação em nuvem
Separação de responsabilidades na nuvem
Modelos de implantação em nuvem
Ameaças das tecnologias de nuvem
Ataques a soluções em nuvem
Análise forense em nuvem
Crimes na nuvem Estudo de caso: a nuvem como assunto Estudo de caso: a nuvem como objeto Estudo de caso: a nuvem como ferramenta
Estudo de caso: Nuvem como assunto
Estudo de caso: Nuvem como objeto
Estudo de caso: Nuvem como ferramenta
Cloud Forensics: partes interessadas e suas funções
Arquitetura de problemas forenses em nuvem e registros de coleta de dados de identificação Análise de aspectos legais Categorias de problemas forenses
Arquitetura e Identidade
Coleção de dados
Revistas
Aspectos legais
Análise
Categorias de problemas forenses
Pesquisa de armazenamento em nuvem
Investigação forense do serviço Dropbox Artefatos do portal web Dropbox Artefatos do cliente Dropbox no Windows
Artefatos do portal Dropbox
Artefatos do cliente Dropbox no Windows
Investigação forense do serviço Google Drive Artefatos do portal web do Google Drive Artefatos do cliente Google Drive no Windows
Artefatos do portal da web do Google Drive
Artefatos do cliente do Google Drive no Windows
Ferramentas forenses em nuvem
Análise forense do DropBox
Análise forense do Google Drive
Módulo 11. Investigação de software malicioso (4 ac. h.)
Conceitos de malware Tipos de malware Diferentes maneiras pelas quais o malware se infiltra em um sistema Métodos comuns usados por invasores para espalhar malware online Componentes malware
Tipos de malware
Várias maneiras de malware entrar em um sistema
Métodos comuns usados por invasores para distribuir malware online
Componentes de malware
Análise forense de malware Por que analisar a identificação e extração de malware malware Laboratório para análise de malware Preparando uma bancada de testes para análise de malware programas
Por que analisar malware
Identificação e extração de malware
Laboratório de análise de malware
Preparando uma bancada de testes para análise de malware
Ferramentas de análise de malware
Regras gerais para análise de malware
Questões organizacionais de análise de malware
Tipos de análise de malware
Análise estática Análise estática de malware: impressão digital de arquivos Serviços on-line de análise de malware Local e verificação de malware de rede Realizar pesquisas de strings Identificar métodos de empacotamento/ofuscação Encontrar informações sobre executáveis portáteis (PE) Determinação de dependências de arquivos Desmontagem de malware Ferramentas de análise malware
Análise estática de malware: impressão digital de arquivos
Serviços online de análise de malware
Verificação de malware local e de rede
Executando uma pesquisa de string
Definição de métodos de empacotamento/ofuscação
Localizando informações sobre executáveis portáteis (PE)
Determinando Dependências de Arquivo
Desmontando malware
Ferramentas de análise de malware
Análise dinâmica Monitoramento de processos Monitoramento de arquivos e pastas Monitoramento de registro Monitoramento de atividades de rede Monitoramento portas Monitoramento de DNS Monitoramento de chamadas de API Monitoramento de drivers de dispositivos Monitoramento de programas de inicialização Serviços de monitoramento janelas
Monitoramento de processos
Monitorando arquivos e pastas
Monitoramento de registro
Monitoramento de atividade de rede
Monitoramento de porta
Monitoramento de DNS
Monitoramento de chamadas de API
Monitoramento de driver de dispositivo
Monitorando programas de inicialização
Monitoramento de serviços do Windows
Análise de documentos maliciosos
Problemas de análise de malware
Executando uma análise estática de um arquivo suspeito
Análise dinâmica de malware
Análise de um arquivo PDF malicioso
Digitalize arquivos PDF usando recursos de rede
Digitalizando documentos de escritório suspeitos
Módulo 12. Exame forense de e-mail (2 ac. h.)
Sistema de e-mail Clientes de e-mail Servidor de e-mail Servidor SMTP Servidor POP3 Servidor IMAP A importância do gerenciamento de documentos eletrônicos
Clientes de correio
Servidor de e-mail
Servidor SMTP
Servidor POP3
Servidor IMAP
A importância do gerenciamento eletrônico de documentos
Crimes relacionados a e-mail Spam Hacking de e-mail Tempestade de e-mail Phishing Falsificação de e-mail correio Mensagens ilegais Fraude de identidade Cartas em corrente Criminal crônica
Spam
Hack de correio
Tempestade de correio
Phishing
Falsificação de e-mail
Mensagens ilegais
Fraude de identidade
Cartas de felicidade
Crônica do crime
Mensagem de e-mail Cabeçalhos de mensagens de e-mail Lista de cabeçalhos de e-mail comuns
Cabeçalhos de e-mail
Lista de cabeçalhos de e-mail típicos
Etapas para investigar crimes por e-mail Obtenção de autorização para pesquisar, apreender e investigar Investigar mensagens de e-mail Copiar mensagens de e-mail Visualizar cabeçalhos de mensagens no Microsoft Outlook no AOL no Apple Mail no Gmail no Yahoo Mail Analisar cabeçalhos de mensagens de e-mail Verificando arquivos adicionais (.pst / .ost) Verificando a validade do e-mail Investigando endereços IP Rastreando origens de e-mail Verificando informações header Rastreamento de webmail Coletando arquivos de e-mail Arquivos de e-mail Conteúdo dos arquivos de e-mail Arquivo local Arquivo do servidor Recuperação e-mails excluídos Investigando logs de e-mail Logs do servidor de e-mail Linux >Registros do servidor de e-mail do Microsoft Exchange Logs do servidor E-mail da Novell
Obtenção de permissão para inspeção, apreensão e investigação
Pesquisa por e-mail
Copiando mensagens de e-mail
Visualize cabeçalhos de mensagens no Microsoft Outlook no AOL no Apple Mail no Gmail no Yahoo Mail
no Microsoft Outlook
na AOL
no Apple Mail
no Gmail
no Yahoo Mail
Analisando cabeçalhos de e-mail Verificando arquivos adicionais (.pst / .ost) Verificando a validade do e-mail Pesquisando endereços IP
Verificando arquivos adicionais (.pst/.ost)
Verificação de validação de e-mail
Pesquisa de endereço IP
Rastreamento de origem de e-mail Verificando informações de cabeçalho Rastreamento de webmail
Verificando informações do cabeçalho
Rastreamento de webmail
Coleção de arquivos de e-mail Arquivos de e-mail Conteúdo dos arquivos de e-mail Arquivo local Arquivo do servidor Recuperação de e-mails excluídos
Arquivos de e-mail
Conteúdo dos arquivos de e-mail
Arquivo local
Arquivo do servidor
Recuperando e-mails excluídos
Investigando logs de e-mail Logs do servidor de e-mail Linux >Logs do servidor de e-mail do Microsoft Exchange Logs do servidor de e-mail da Novell
Logs do servidor de e-mail Linux
>Registros do servidor de e-mail do Microsoft Exchange
Logs do servidor de e-mail Novell
Ferramentas forenses
Leis sobre crimes por e-mail
Recuperar e-mail excluído com Recuperar meu e-mail
Pesquisa de crimes cibernéticos com Paraben Email Examiner
Rastreando um e-mail usando eMailTrackerPro
Módulo 13. Investigação de hacking de dispositivos móveis (2 ac. h.)
Exame forense de dispositivos móveis A necessidade de exame forense Principais ameaças aos dispositivos móveis
A necessidade de exame forense
Principais ameaças aos dispositivos móveis
Dispositivos móveis e análise forense
Sistema operacional móvel e camadas arquitetônicas forenses de dispositivos móveis Android Architectural Stack Processo de inicialização do Android Arquitetura iOS Processo de inicialização do iOS Inicialização normal e DFU Inicialização do iPhone no modo DFU Armazenamento móvel e áreas de evidência
Camadas arquitetônicas de dispositivos móveis
Pilha arquitetônica do Android
Processo de inicialização do Android
Arquitetura iOS
Processo de download do iOS
Inicializando no modo normal e no modo DFU
Inicialize o iPhone no modo DFU
Armazenamento móvel e armazenamento de evidências
O que precisa ser feito antes da investigação? Preparar uma estação de trabalho forense Construir uma equipe de investigação Considerar políticas e leis Obter permissão para pesquisa Avaliar riscos Criar um conjunto de ferramentas forenses exame
Prepare uma estação de trabalho para exame forense
Construa uma equipe investigativa
Considere políticas e leis
Obtenha permissão para pesquisa
Avalie os riscos
Crie um conjunto de ferramentas forenses
Análise de evidências de telefones celulares
Processo forense de dispositivos móveis Coleta de evidências Documentação da cena do crime Documentação de evidências Preservação de evidências Um conjunto de regras para manuseio telefone celular Contenção do sinal do telefone celular Embalagem, transporte e armazenamento de evidências Ferramentas de geração de imagens para criação de imagens de disco móvel dispositivos Ignorar bloqueio do telefone Ignorar senha de bloqueio do telefone Android Ignorar código do iPhone Habilitando depuração USB Técnicas para remover a proteção da plataforma Coleta e análise informações Coleta de evidências de dispositivos móveis Métodos de coleta de dados Rede celular Módulo de Identidade do Assinante (SIM) Coleta de dados lógicos Coleta de dados físicos Isolamento conjuntos de dados homogêneos Extração de banco de dados SQLite Ferramentas móveis de coleta de dados Criando um relatório de investigação Modelo de relatório de investigação dispositivo móvel
Reunindo evidencias
Documentar uma cena de crime Documentar provas Preservar provas Um conjunto de regras para o tratamento telefone celular Contenção do sinal do telefone celular Embalagem, transporte e armazenamento evidência
Documentando evidências
Preservação de evidências
Um conjunto de regras para lidar com um telefone celular
Bloqueio de sinal de celular
Embalagem, transporte e armazenamento de evidências
Removendo uma imagem Ferramentas para criar uma imagem de disco de dispositivos móveis Ignorando o bloqueio do telefone Ignorar O código do iPhone para ignorar a senha de bloqueio do telefone Android permite técnicas de remoção de depuração USB plataformas
Ferramentas para criar imagens de disco de dispositivos móveis
Ignorar bloqueio do telefone
Ignorar senha de bloqueio do telefone Android
Ignorar código do iPhone
Ativar o USB depuração
Técnicas para remover a proteção da plataforma
Coleta e análise de informações Coleta de evidências de dispositivos móveis Métodos de coleta de dados Rede celular Módulo de identificação de assinante (SIM) Coleta lógica data Coleta de dados físicos Isolamento de conjuntos de dados homogêneos Extração de banco de dados SQLite Ferramentas para coleta de dados de dispositivos móveis
Coletando evidências de dispositivos móveis
Métodos de coleta de dados
Rede celular
Módulo de identidade do assinante (SIM)
Coleta de dados lógicos
Coleta de dados físicos
Isolamento de matrizes de dados homogêneas
Extraindo o banco de dados SQLite
Ferramentas de coleta de dados móveis
Crie um modelo de relatório de investigação de dispositivo móvel para relatório de investigação
Modelo de relatório de pesquisa de dispositivos móveis
Análise forense de imagem de dispositivo móvel e recuperação de arquivos excluídos usando Autopsy
Pesquisando um dispositivo Android usando Andriller
Módulo 14. Elaboração de um relatório de investigação (2 ac. h.)
Preparando um relatório de investigação Relatório de investigação forense Aspectos importantes de um bom modelo de relatório laudo forense Classificação dos laudos Diretrizes para redigir um laudo Dicas para redação relatório
Relatório de investigação forense
Aspectos importantes de um bom relatório
Modelo de relatório de ciência forense
Classificação do relatório
Guia para escrever um relatório
Dicas para escrever um relatório
Depoimento de uma testemunha especializada Quem é uma “testemunha especializada”? O papel da testemunha especializada Testemunha técnica e testemunha especializada Dewbert Standard Freie Standard Rules of Good perito A importância do currículo Código profissional do perito Preparando-se para depor testemunho
Quem é uma “testemunha especialista”?
O papel do perito
Testemunha Técnica e Testemunha Perita
Padrão Deubert
Padrão Freie
Regras para uma boa testemunha especializada
A importância de um currículo
Código Profissional de Testemunha Perita
Preparando-se para testemunhar
Testemunho em tribunal Procedimentos gerais em processos judiciais Ética geral ao testemunhar A importância dos gráficos no depoimento Como evitar problemas com testemunho Testemunho durante exame direto Testemunho durante interrogatório Testemunho incluído nos materiais romances
Procedimento geral para processos judiciais
Ética geral ao testemunhar
O significado dos gráficos nas leituras
Como evitar problemas com leituras
Testemunho durante o exame direto
Testemunhando durante o interrogatório
Testemunho adicionado ao arquivo do caso
Trabalhando com a mídia
Preparação de um relatório de investigação de incidente
Módulo 15. Teste final (4 ak. h.)