EnCase® Computer Forensics I syllabus dia 1



Yüklə 17,83 Kb.
tarix08.10.2017
ölçüsü17,83 Kb.
#4001


EnCase® Computer Forensics I Syllabus
DIA 1
O primeiro dia de curso começa com uma introdução ao EnCase® Forensic v6 e com uma metodologia de exame de evidências. Os estudantes aprenderão como usar o EnCase para adquirir uma cópia completa dos dados de um disco removido de forma forense. O conceito da evidência digital e como os computadores trabalham (com particular atenção aos impactos associados ao exame forense) também fazem parte das atividades.
As principais temas abordados no Dia 1 são:
• Metodologia EnCase Forensic

– Criando o arquivo do caso no EnCase Forensic


• Navegação no ambiente EnCase Forensic
Conceito EnCase Forensic

– Salvaguarda e preservação dos dados da evidência


• Entendimento do conceito da evidência digital e seu impacto na investigação
• O básico na aquisição de uma cópia forense dos dados de um disco removido
• Entendimento do funcionamento dos computadores

– Hardware e terminologias associadas

– O CMOS, BIOS e sequência de boot

– Interpretação binária e dado hexadecimal

– O básico da codificação de texto.
DIA 2
O segundo dia de curso tem início com uma discussão detalhada sobre os sistemas de arquivo FAT assim como uma visão geral dos sistemas de arquivo NT. A aquisição de Disco Rígido também está incluída no conteúdo desse dia, utilizando tanto um CD Linux forense, como hardwares usuais de bloqueio de escrito. Os estudantes aprenderão como adquirir apropriadamente um sistema de computador e explorar a busca por palavras-chaves, marcadores e dados relevantes.
Os principais temas abordados no Dia 2 são:
• Sistemas de arquivo NT/FAT

– Como esses sistemas de arquivo rastreiam os dados em seus respectivos volumes e o que ocorre quando um arquivo criado é deletado.


• Aquisição de um HD

– Tecnologias de bloqueio de escrita

– Aquisição forense usando um sistema operacional Linux

» Aquisição Drive a drive

» Aquisição Network crossover-cable

– Análise dos sistemas de computador

– Criação de palavras-chaves ou pesquisa

- Marcadores básicos.


DIA 3
O terceiro dia inclui bookmarks de dados mais complexos. As instruções são fornecidas durante o uso dos arquivos de assinatura para identificar apropriadamente os tipos de arquivo. Os princípios e uso prático da impressão digital (valores de hash) para identificar arquivos de interesse e excluir arquivos já conhecidos também serão abordados nesse dia. Os estudantes irão instalar visualizadores externos com o EnCase Forensic e aprender como copiar dados extraídos de uma evidência. A aula também contempla a restauração de um arquivo de evidência em uma mídia física.
Os principais temas abordados no Dia 3 são:
Tipos de arquivo

– Discussão das categorias de arquivo/ pastas e ícones empregados pelo EnCase Forensic


• Análise dos hits de pesquisa e marcadores

  • Uma discussão detalhada dos bookmarks e opções relacionadas

• Análise de assinatura

– Comparação automática entre as extensões dos arquivos dispostos e o conteúdo de fato dos arquivos.
• Análise de Hash

– Utilização das assinaturas digitais para identificar e excluir arquivos sem visualizar e examinar cada um deles.


• Instalação de visualizadores externos

• Cópia detalhada / Opções não apagadas

• Recuperação da evidência

– Recuperação a pedido de um Tribunal; necessidade de restaurar um dado ou examinar a operação de um sistema servidor em tempo real.


DIA 4
O DIA 4 tem como objetivo mostrar como reabri um arquivo de evidência para modificar parâmetros e manter a integridade dos dados. Os estudantes receberão conselhos e guias para o arquivamento, além de instruções sobre como restaurar e abrir um arquivo de caso. Os alunos observarão como o EnCase Forensic pode detectar e identificar qualquer alteração no conteúdo de um arquivo de evidência. Instruções práticas serão fornecidas, em um segundo momento, para o uso do visualizador da Linha do Tempo do EnCase Forensic e para a recuperação dos dados deletados de espaços não alocados de um disco de computador. Em seguida, o curso abordará a importância de lidar propriamente com a evidência, mostrando exemplos de boas práticas nessa área.
Os principais temas abordados no Dia 4 são:
• Arquivamento e reabertura de um caso

• Verificação de um arquivo de evidência

• Visualizador Timeline (Linha do Tempo)

• Localização e recuperação de evidências em espaços não alocados

– Manualmente

– Utilizando programas EnScript®



• A importância e as boas práticas para lidar com as evidências



Yüklə 17,83 Kb.

Dostları ilə paylaş:




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©genderi.org 2022
rəhbərliyinə müraciət

    Ana səhifə