Logare membriEnglandRomania

Windows Computer Forensics

Despre curs

Windows Forensics este un curs practic de instruire de tip hands-on care are ca scop dezvoltarea unor competente de prim rang pentru a rezolva anumite brese de securitate si pentru a conduce o investigatie de computer forensics. Folosind o varietate de instrumente de computer forensics si un laborator criminalistic portabil veti efectia un numar de exercitii practice si veti infrunta provocari care va vor ajuta sa invatati cum sa reactionati cel mai bine la incidente in timp ce strangeti probe perisabile si neperisabile. Veti invata cum sa investigati bresele de securitate si cum sa analizati probele digitale care pot fi folosite intern sau in instanta. Pe durata cursului veti juca rolul unui specialist in computer forensics insarcinat cu investigarea unui caz real si veti aplica metodele, tehnicile si instrumentele necesare intr-o investigatie criminalistica in domeniul computerelor.

Cui se adreseaza

Acest curs este ideal pentru:

  • Auditori de securitate
  • Administratori de sistem si retea
  • Manageri tehnici
  • Personalul responsabil cu aplicarea legilor
  • Specialisti in securitate care doresc sa deprinda conceptele de baza ale investigatiilor din domeniul computer forensic in sisteme de operare Windows.

Premise obligatorii

Cursul este practic, de tipul "hands-on" si este destinat acelor persoane care cunosc indeaproape tehnicile standard de hacking etic, protocoalele obsnuite de retea si sunt familiarizate cu practica sistemelor de operare Linux si Microsoft.

Durata:3 zile

Structura cursului

Widows Forensics este integral un curs practic elaborat pe baza unor scenarii reale de intruziune. Structura cursului urmareste aceleasi etape pe care le parcrge in mod obisnuit un investigator de computer criminalistica intr-o investigatie reala, de la primul raspuns la etapa de intocmire a raportului sau chiar de prezentare a probelor electronice ca martor specialist. Subiectele acestui tip de instruire includ:

  • Alcatuirea unui laborator de criminalistica
  • Efectuarea primului raspuns criminalistic
  • Colectarea memoriei sistemului si obtinerea altor probe neperisabile
  • File slack, ram slack, drive slack, si spatiu nealocat
  • imagine Hard drive
  • Analiza FAT 12/16/32 si sisteme NTFS
  • Intocmirea programului evenimentelor
  • Recuperarea datelor din spatiul nealocat
  • Extragerea dovezilor din Registrul Windows
  • Analizarea log-urilor de evenimente Windows
  • Cautarea cuvintelor cheie
  • Interpretarea istoricului Internetului si a conceptelor HTTP
  • Intocmirea rapoartelor de criminalistica
  • Prezentarea unor opinii de specialitate in instanta

Scenariile de hacking vor reprezenta firul in jurul caruia se vor impleti toate etapele de mai sus spre deosebire de metoda obsinuita de predare singulara a fiecarei etape si a instrumentelor aferente.

Conditii pentru Laptop

Un laptop trebuie sa functioneze in toate atelierele practice. Neindeplinirea conditiilor de mai jos poate duce la esecul delegatului de a realiza unul sau mai multe ateliere practice si astfel de a nu beneficia integral de cursul Windows Forensics. Conditiile minime pentru laptop sunt:

  • x86-compatibil 1.5 Ghz CPU minim sau mai mare
  • DVD Drive
  • 1GB RAM minim sau mai mare
  • Adaptor Ethernet
  • 10 Gigabyte disponibili pe spatiul hard drive
  • Sistemul trebuie sa fie capabil sa boot-eze de pe CD
  • PCMCIA sau ExpressCard sau interfata USB (aceasta este necesara pentru cardul extern wireless inclus in kitul de hacking Etic Ninja).
  • VMware Player sau VMware Workstation.

 Laborator portabil de criminalistica

Fiecare participant la curs va primi un laborator portabil de criminalistica ce contine:

  • Un DVD continand o Statie de Lucru Virtuala de criminalistica preconfigurata cu toate instrumentele necesare pentru conducerea unei investigatii criminaliste (dispozitiv Linux VMware)
  • Un CD continand o serie de instrumente gata de folosire in caz de incident pentru sistemele de operare Windows.

 

Rezumatul cursului

Scenariu de intruziune

Administratorul de sistem si-a dat seama ca ceva nu este in regula in momentul in care a observat un cont suplimentar pe Serverul Windows pe care il administra. Ca investigatori pe probleme de criminalistica a computerelor sarcina voastra este de a detecta orice acces neautorizat si felul in care a avut loc accesul si dimensiunea pagubelor.

 Ziua 1

Dupa introducerea conceptelor de baza ale metodologiei de computer criminalistica veti invata cum sa raspundeti din punct de vedere al investigatiei criminaliste, strangand probe perisabile si neperisabile fara a distruge si fara a afecta datele originale pentru analize ulterioare. Sfarsitul primei zile va fi marcat de o sectiune fascinanta cu privire la analiza a memoriei fizice.

 Ziua 2

Urmand metodologia de criminalistica in domeniul computerelor discutata in ziua 1, veti folosi trusa de criminalistica pentru a analiza si investiga probele obtinute din sistemul compromis. Veti invata cum sa folositi instrumentele TSK si Autopsy pentru a intocmi si analiza un program, cum sa analizati si sa corelati Log-urile de Evenimente Windows si cum sa extrageti probe valoroase din Regsitrul Sistemului, printre altele.

 Ziua 3

Va veti incheia activitatea cu analiza metadatelor si folosirea unor instrumente ca Wireshark si NetworkMiner pentru analizarea capturilor traficului in retea si obtinerea unor informatii valoroase pentru investigatia noastra. In final, veti folosi toate informatiile obtinute prin analiza efectuata pentru a rezolva cazul si pentru a prezenta concluziile intr-o maniera criminalistica proprie.

Structura Cursului

Zi 1

1. Computer Criminalistica
 1.1. Infractiuni in domeniul computerelor si scenarii criminalistice obisnuite
 1.2. Mentalitatea investigatorului
 1.3. Folosirea probelor digitale
 1.4. Metodologia criminalitica pe scurt
 1.5. Lantul custodiei
 1.6. Subiecte legale pentru analiza criminalistica
 1.7. Intocmirea rapoartelor
 1.8. Alcatuirea unui laborator de investigatii criminalistice

2. Alcatuirea unui laborator de investigatii criminalistice
  2.1 Mort sau viu
  2.2 Raspuns live
  2.3 Principiul de schimb al lui Locard
  2.4 Colectarea datelor perisabile
  2.5 Achizitia Memoriei de Sistem
  2.6 Imagine hard drive si media
  2.7 Achizitie logica versus achizitie fizica de disk.

3. Analiza datelor live
  3.1 Verificarea incidentului
  3.2 Analiza datelor perisabile
  3.3 Analiza memoriei fizice

Zi 2

4. Sistem Windows File
 4.1. Concepte generale ale Sistemului File System
 4.2. Concepte si analiza FAT
 4.3. Concepte si analiza NTFS

5. Investigatia si analiza disk-ului
  5.1 Metodologia de investigatie criminalistica
  5.2 Recunoastere initiala
  5.3 Intocmirea si analiza programului
  5.4 Analiza fisierului si directorului
  5.5 Analiza Log-urilor Windows Event
  5.6 Recuperarea datelor
  5.7 Cautare Caractere
  5.8 Analiza avansata de registru cu RegRipper
  5.9 Dispozitive USB
  5.10 Criminalistica in domeniul Email si cautare Internet

Zi 3

6. Metadate pentru fisiere
 6.1. Word, PDF si fisiere imagine
 6.2. Fluxuri alternative de date NTFS

7. Criminalistica de retea
  7.1 Strategii Wiretap
  7.2 capturi de retea cu tcpdump
  7.3 Descifrarea unui atac cu Whireshark si NetworkMiner

8. Provocarea finala

De ce noi?

"Instructorii nostri sunt consultanti pe probleme de securitate cu o vasta experienta, dedicati activitatii de instruire si care isis impartasesc cunostintele"

"Criminalistica Windows se refera la dezvoltarea unor competente si deprinderi practice – nu doar teoretice"

"Ne concentram asupra instrumentelor si tehnicilor folosite in viata reala de catre investigatori criminalisti"

 

Ismael Valenzuela

Despre autor

De cand a fondat una din primele firme de consultanta in IT din Spania, Ismael Valenzuela a participat, in calitate de specialist pe probleme de securitate, la proiecte internationale din UK, Europa, India si Australia. Ismael este licentiat in Stiinta Calculatoarelor si Administrarea Afacerilor. Dansul detine un numar impresionant de diplome inclusiv diploma GIAC de analist criminalist, diploma GIAC de analist pe probleme de intruziune,atestat GIAC pentru testarea penetrarii, ITIL, CISM, CISSP SI IRCA ISO 27001 Auditor principal de catre Bureau Veritas UK. Este de asemenea membru al Comitetului Consultativ SANS GIAC si Instructor international BSi pentru cursuri ISO 27001, ISO 20000 si BS 25999.

 In prezent lucreaza ca Manager la nivel global de Securitate IT pentru un furnizor multinantional de software si a semnat un numar de articole pe tema securitatii informationale, inclusiv cele doua serii de articole “My ERP got hacked, An Introduction to to Computer Forensics”, publicat recent in revista Hakin9.

top
© 2010 Silensec. Toate drepturile rezervate. Nota legala | Harta site