Agenda 3-dniowych warsztatów z informatyki śledczej

Agenda 3-dniowych warsztatów z informatyki śledczej
Pojęcie dowodu elektronicznego i Polskie oraz Europejskie regulacje prawne
Obsługa incydentów bezpieczeństwa wg SANS Institute, ISO TR 18044, PN-ISO/IEC 27001, NIST 800-61
TRIAGE w informatyce śledczej
Pozyskiwanie i zabezpieczanie danych RFC 3227
Protokół oględzin komputera
Łańcuch dowodowy
Najlepsze praktyki – procedury
Metody zabezpieczania danych
Struktura fizyczna i logiczna dysków twardych
Zabezpieczanie danych - część 1 (z wykorzystaniem oprogramowania)
Ćwiczenia z oprogramowaniem do zabezpieczania danych (np. dd, dcfldd, Guidance, F-Response)
Zabezpieczanie danych - część 2 (z wykorzystaniem narzędzi)
Weryfikacja poprawności wykonania kopii binarnych (funkcje skrótu)
Ćwiczenia z narzędziami do zabezpieczania danych (ćwiczenia z wykorzystaniem przenośnego
laboratorium)
Metody zabezpieczania danych ulotnych z systemów Microsoft Windows
Najważniejsze struktury danych (KPCR, KTHREAD, EPROCESS) i obiekty
Ćwiczenia - zabezpieczanie danych z MoonSols Windows Memory Toolkit
Analiza obrazu pamięci RAM - część 1
 Wykrywanie infekcji komputera
 Wykrywanie śladów aktywności użytkowników
Ćwiczenia z Volatility
System plików FAT
Ćwiczenia z analizy systemu plików FAT
System plików NTFS
Ćwiczenia z analizy systemu plików NTFS
System plików EXT2/EXT3/EXT4
Ćwiczenia z analizy systemu plików EXT2/EXT3
Wyszukiwanie danych, identyfikacja pofragmentowanych plików - część 1
Tworzenie własnych narzędzi do analizy
Slack space
Ćwiczenia z w/w zagadnień
Wyszukiwanie danych (słowa kluczowe, wyrażenia regularne, sumy skrótu), identyfikacja i odtwarzanie
pofragmentowanych plików - część 2
Ćwiczenia z w/w zagadnień
Przygotowanie danych do analizy
 Bazy znanych plików
 Meta-dane opisujące pliki
 Formaty przechowywania danych do analizy
 Usuwanie hasła z systemu Microsoft Windows
Ćwiczenia z w/w zagadnień
Praktycznie ćwiczenia z oprogramowaniem do informatyki śledczej (EnCase, ProDiscover, Registry Viewer,
WinHex, SleuthKit, HashCoverter, Live View i wiele innych)
Aktywność użytkowników - część 1
 Historia aktywności (ang. timeline) w systemie Microsoft Windows
 Dzienniki zdarzeń systemu operacyjnego i aplikacji (Microsoft Windows)
 Rejestry systemu Microsoft Windows
o Uruchamiane aplikacje
o Identyfikacja nielegalnego oprogramowania
 Inne kluczowe pliki i katalogi w systemie Microsoft Windows (np. Recycle Bin, links, Prefetch, tmp,
Restore Points, Shadow Volume Copy)
Ćwiczenia z w/w zagadnień
Aktywność użytkowników - część 2
 Analiza wiadomości email i identyfikacja nadawcy
 Usunięte dane z systemu plików NTFS i FAT
Ćwiczenia z w/w zagadnień
Aktywność użytkowników - część 3
 Przeglądarki WWW – historia aktywności
 Aplikacje – historia zmian w dokumentach, meta-dane, pliki tymczasowe (na przykładzie pakietu
Microsoft Office)
 Komunikatory (aplikacje instalowane na badanym dysku i aplikacje online) – historia komunikacji
Ćwiczenia z w/w zagadnień
Aktywność użytkowników – cześć 4
 Urządzenia mobile
Ukrywanie danych
 Ukrywanie danych na dyskach
 Ukrywanie danych w systemie plików
 Ukrywanie danych w meta danych
 Steganografia
 Wymazywanie danych i weryfikacja
Ćwiczenia z w/w zagadnień
Podsumowanie studium przypadku
Przygotowanie raportu końcowego / opinii