Digital Forensics Analyst Level 3

Digital Forensics Analyst: Level 3 - это Практический онлайн-курс по проведению криминалистического анализа зараженных компьютеров от экспертов Group-IB.

На данный момент нет причин полагать, что интенсивность и частота вредоносной активности и кибератак на компании пойдет на спад, поэтому тщательное расследование инцидентов информационной безопасности сейчас особенно важно. Последствия кибератаки могут быть разрушительными, однако тщательное и четкое реагирование на инцидент и его криминалистическое расследование позволяет снизить риск повторной атаки на компанию.

Тренинг включает практические упражнения из разных областей компьютерной криминалистики. Все занятия начинаются с обсуждения теории по каждой теме, после чего следует практика. Также вам предоставят инструменты, необходимые для выполнения заданий.

Цель любого курса Group-IB — не только обучить наиболее современным методам обеспечения информационной безопасности, но также создать пространство, в котором эксперты могут делиться знаниями и опытом. Таким образом, курсы предполагают взаимодействие как с тренером, так и другими участниками, что позволяет использовать имеющиеся возможности максимально эффективно.

ВХОДНЫЕ ТРЕБОВАНИЯ:
Для успешного прохождения курса слушателям желательно обладать следующими знаниями:
* Понимание методов снятия данных, криминалистической работы с памятью и криминалистики хостов
* Понимание процесса создания криминалистических копий, анализа дампов памяти, обработки и анализа артефактов на хостах и выявления тактик, техник и процедур атакующих (TTP).
* Рекомендуется пройти курс Digital Forensics Analyst: уровень 2
----------------------------------------------------------------------
После окончания курса вы сможете:
Разбираться в сетевой криминалистике
Погрузиться в техники и инструменты криминалистической работы с памятью
Понимать структуру файловой системы NTFS
Уметь проводить базовое восстановление данных

АУДИТОРИЯ:
* Технические специалисты с опытом в информационной безопасности
* Специалисты по информационной безопасности
* Специалисты с опытом в компьютерной криминалистике

По итогам курса вы получите:
---------------------------------------
* Видео лекций и практические материалы, используемые в ходе курса
* Именной сертификат о прохождении обучающего курса Group-IB
* Плакат с описанием основных артефактов и инструментов для их обработки
* Ценный опыт и знания, которые вы можете сразу применять в работе

Технические требования
--------------------------------
Для эффективного прохождения курса вам потребуется компьютер, соответствующий следующим критериям:

Оборудование
* Процессор 64-bit 2.0+GHz
* Intel-VT или AMD-V
* ОЗУ: 8+ GB
* Права локального администратора

Программное обеспечение (ПО)
* Последняя версия Windows 10
* Установленное ПО VMware Workstation Pro 15.5.X+

Дополнительные требования будут отправлены по электронной почте перед началом курса.

Все материалы курса будут доступны на Google Диске. Если у вас нет учетной записи Gmail, наш тренер поможет вам ее создать перед началом курса.

ДЕНЬ 1.
Первый день целиком посвящен сетевой криминалистике. Вам расскажут об основных сетевых протоколах, полях заголовков, принципах их работы, а также о том, как они могут использоваться во время атак. Тренеры расскажут о специфике процесса сбора трафика и механизмов выявления аномалий в контексте различных типов инцидентов информационной безопасности. Для того, чтобы закрепить полученные вами знания, вам предложат выполнить несколько практических заданий и самостоятельно исследовать определенные кейсы.

ДЕНЬ 2.
Второй день поднимет ваши знания по криминалистической работе с памятью на новый уровень. В начале дня мы расскажем об основах архитектуры и структуры оперативной памяти. После этого мы подробно обсудим анализ дампов оперативной памяти и то, как извлекать артефакты из файлов подкачки и гибернации. Наконец, вам подробно расскажут о плагинах Volatility и принципах их работы.

К концу дня у вас будет понимание структуры памяти, основных процессов в памяти компьютеров, а также того, как хранится информация и как извлекать артефакты из оперативной памяти в криминалистических целях.

ДЕНЬ 3.
Следующим шагом для специалиста по компьютерной криминалистике продвинутого уровня является понимание структуры операционной системы Windows. Вы познакомитесь с архитектурой файловой системой NTFS, включая межфайловое, нераспределенное и свободное пространства, метафайлы, потерянные файлы и теневые копии. В конце дня будет проведен глубокий анализ файлов реестра и журналов событий.

ДЕНЬ 4.
Мы расскажем об анализе баз данных и покажем, как восстановить информацию из поврежденных баз данных. Это важнейший навык, наличие которого может изменить ход всего расследования. После этого мы рассмотрим дополнительные артефакты в ОС Windows и детально разберем анализ криминалистических образов. Эти навыки понадобятся при реконструкции тактик, техник и процедур атакующих.

Криминалистика продвинутого уровня также включает в себя изучение антифорензики, а именно мышления, методов и целей атакующих, направленных на обход криминалистических техник.

ДЕНЬ 5.
Один из самых сложных процессов в криминалистике — это восстановление данных или снятие образов с поврежденных файлов. Этот непростой процесс может стать решающим для расследования. В заключительный день вы научитесь:

Разбираться в основах криминалистического восстановления данных с поврежденных HDD, SSHD, SSD, Flash и RAID
Создавать криминалистические образы, используя файлы AFF4, E01, RAW и DEFF
Восстанавливать данные на логическом уровне в файловых системах Ext2/3/4, exFAT/NTFS/REFS и HFS+/APFS
Восстанавливать данные на основе мета-структур и пользовательских данных.
В конце дня будет проведена демонстрация ключевых функций программ Recovery Explorer Professional, R-studio, Data Extractor SSD & RAID ed., WinHEX и PhotoRec.

Курс закончится обсуждением гарантированного уничтожения данных — техник, которые используют злоумышленники, чтобы скрыть свои действия и удостовериться, что их следы никогда не обнаружат.