Agenda 3-dniowych warsztatów z informatyki śledczej
Transkrypt
Agenda 3-dniowych warsztatów z informatyki śledczej
Agenda 3-dniowych warsztatów z informatyki śledczej Pojęcie dowodu elektronicznego i Polskie oraz Europejskie regulacje prawne Obsługa incydentów bezpieczeństwa wg SANS Institute, ISO TR 18044, PN-ISO/IEC 27001, NIST 800-61 TRIAGE w informatyce śledczej Pozyskiwanie i zabezpieczanie danych RFC 3227 Protokół oględzin komputera Łańcuch dowodowy Najlepsze praktyki – procedury Metody zabezpieczania danych Struktura fizyczna i logiczna dysków twardych Zabezpieczanie danych - część 1 (z wykorzystaniem oprogramowania) Ćwiczenia z oprogramowaniem do zabezpieczania danych (np. dd, dcfldd, Guidance, F-Response) Zabezpieczanie danych - część 2 (z wykorzystaniem narzędzi) Weryfikacja poprawności wykonania kopii binarnych (funkcje skrótu) Ćwiczenia z narzędziami do zabezpieczania danych (ćwiczenia z wykorzystaniem przenośnego laboratorium) Metody zabezpieczania danych ulotnych z systemów Microsoft Windows Najważniejsze struktury danych (KPCR, KTHREAD, EPROCESS) i obiekty Ćwiczenia - zabezpieczanie danych z MoonSols Windows Memory Toolkit Analiza obrazu pamięci RAM - część 1 Wykrywanie infekcji komputera Wykrywanie śladów aktywności użytkowników Ćwiczenia z Volatility System plików FAT Ćwiczenia z analizy systemu plików FAT System plików NTFS Ćwiczenia z analizy systemu plików NTFS System plików EXT2/EXT3/EXT4 Ćwiczenia z analizy systemu plików EXT2/EXT3 Wyszukiwanie danych, identyfikacja pofragmentowanych plików - część 1 Tworzenie własnych narzędzi do analizy Slack space Ćwiczenia z w/w zagadnień Wyszukiwanie danych (słowa kluczowe, wyrażenia regularne, sumy skrótu), identyfikacja i odtwarzanie pofragmentowanych plików - część 2 Ćwiczenia z w/w zagadnień Przygotowanie danych do analizy Bazy znanych plików Meta-dane opisujące pliki Formaty przechowywania danych do analizy Usuwanie hasła z systemu Microsoft Windows Ćwiczenia z w/w zagadnień Praktycznie ćwiczenia z oprogramowaniem do informatyki śledczej (EnCase, ProDiscover, Registry Viewer, WinHex, SleuthKit, HashCoverter, Live View i wiele innych) Aktywność użytkowników - część 1 Historia aktywności (ang. timeline) w systemie Microsoft Windows Dzienniki zdarzeń systemu operacyjnego i aplikacji (Microsoft Windows) Rejestry systemu Microsoft Windows o Uruchamiane aplikacje o Identyfikacja nielegalnego oprogramowania Inne kluczowe pliki i katalogi w systemie Microsoft Windows (np. Recycle Bin, links, Prefetch, tmp, Restore Points, Shadow Volume Copy) Ćwiczenia z w/w zagadnień Aktywność użytkowników - część 2 Analiza wiadomości email i identyfikacja nadawcy Usunięte dane z systemu plików NTFS i FAT Ćwiczenia z w/w zagadnień Aktywność użytkowników - część 3 Przeglądarki WWW – historia aktywności Aplikacje – historia zmian w dokumentach, meta-dane, pliki tymczasowe (na przykładzie pakietu Microsoft Office) Komunikatory (aplikacje instalowane na badanym dysku i aplikacje online) – historia komunikacji Ćwiczenia z w/w zagadnień Aktywność użytkowników – cześć 4 Urządzenia mobile Ukrywanie danych Ukrywanie danych na dyskach Ukrywanie danych w systemie plików Ukrywanie danych w meta danych Steganografia Wymazywanie danych i weryfikacja Ćwiczenia z w/w zagadnień Podsumowanie studium przypadku Przygotowanie raportu końcowego / opinii