Выявление и реагирование на инциденты информационной безопасности: анализ сетевого трафика и вредоносного кода, проведение расследования

Данный курс готовит специалистов по компьютерной криминалистике делая упор на детальное изучение рассматриваемых тем и их тщательную и очень детальную проработку на практике. В отличие от конкурентов, наш курс начинает с самых основ компьютерной криминалистики и проводит через все темы обеспечивая оптимальный баланс между теорией и практикой. Наши выпускники в состоянии начать работать в качестве начинающих специалистов-криминалистов в одной из криминалистических лабораторий, а дальнейший рост квалификации будет уже в рамках работы по данной специализации.

Модуль 1 — Компьютерная криминалистика в современном мире

Разбор кейсов — примеры расследования компьютерных преступлений
Характеристики цифровых улик
Роль цифровых улик
Источники потенциальных улик
Готовность к криминалистическому расследованию
Модуль 2 — Процесс расследования компьютерных инцидентов

Форма сбора вещественных доказательств
Сбор и сохранение электронных улик
Работа с включенными компьютерами
Работа с выключенными компьютерами
Работа с сетевым компьютером
Работа с открытыми файлами и файлами автозагрузки
Процедура выключения операционной системы
Работа с рабочими станциями и серверами
Работа с портативными компьютерами
Работа с включенными портативными компьютерами
Методология расследования: защита улик
Управление уликами
Порядок передачи и хранения улик
Упаковка и транспортировка электронных улик
Нумерация вещественных доказательств
Хранение электронных вещественных доказательств
Методология расследования: сбор данных
Руководство по сбору данных
Дублирование данных
Проверка целостности образа
Восстановление данных
Методология расследования: анализ данных
Процесс анализа данных
Программное обеспечение для анализа данных
Этап после расследования
Методология расследования: экспертное свидетельствование
Профессиональное поведение
Модуль 3 — Memory Forensics

Что содержится в оперативной памяти
Преимущества анализа оперативной памяти перед анализом жесткого диска
Извлечение памяти Windows
Хранение дампов оперативной памяти (сравнение форматов)
Специфика pagefile.sys и swapfile.sys
Описание стандартных процесов
Действия с подозрительными DLL и EXE
Другие типы объектов в оперативной памяти
Модуль 4 — Жесткие диски и файловые системы

Обзор жестких дисков
Жесткие диски (HDD)
Твердотельные накопители (SSD)
Физическая структура жесткого диска
Логическая структура жесткого диска
Типы интерфейсов жестких дисков
Интерфейсы жестких дисков
Треки
Секторы
Кластеры
Плохие секторы
Бит, байт и полубайт
Адресация данных на жестком диске
Плотность данных на жестком диске
Расчет емкости диска
Измерение производительности жесткого диска
Разделы диска и процесс загрузки
Дисковые разделы
Блок параметров BIOS
Главная загрузочная запись (MBR)
Глобальный уникальный идентификатор (GUID)
Что такое процесс загрузки?
Основные системные файлы Windows
Процесс загрузки Windows
Идентификация таблицы разделов GUID
Анализ заголовка и записей GPT
Артефакты GPT
Процесс загрузки Linux
Файловые системы
Общие сведения о файловых системах
Типы файловых систем
Файловые системы Windows
Файловые системы Linux
Виртуальная файловая система (VFS)
Система хранения RAID
Уровни RAID
Защищенные области хоста (HPA)
Анализ файловой системы
Выделение однородных массивов данных
Анализ файла изображения (JPEG, BMP, шестнадцатеричный вид форматов файлов изображений)
Анализ файла PDF
Анализ файлов Word
Анализ файлов PPT
Анализ файлов Excel
Шестнадцатеричный вид популярных форматов файлов (видео, аудио)
Анализ файловой системы
Модуль 5 — Сбор и дублирование данных

Концепции сбора и дублирования данных, типы систем сбора данных
Получение данных в реальном времени
Порядок волатильности
Типичные ошибки при сборе изменчивых данных
Методология сбора изменчивых данных
Получение статических данных
Статические данные
Эмпирические правила
Дубликаты образов
Побитовая копия и резервная копия
Проблемы с копированием данных
Шаги по сбору и дублированию данных
Подготовка формы передачи улик
Включение защиты от записи на носителях-уликах
Подготовка целевого носителя: руководство NIST SP 800-88
Определение формата сбора данных
Методы сбора данных
Определение лучшего метода сбора данных
Выбор инструмента для сбора данных
Сбор данных с RAID-дисков
Удаленное получение данных
Ошибки при сборе данных
Планирование нештатных ситуаций
Рекомендации по сбору данных
Модуль 6 — Техники, затрудняющие криминалистическую экспертизу

Что такое антифорензика и ее цели
Техники антифорензики
Удаление данных / файлов, что происходит при удалении файла в Windows
Восстановление файлов
Средства восстановления файлов в Windows
Восстановление файлов в Linux
Восстановление удаленных разделов
Защита паролем
Типы паролей
Работа взломщика паролей
Техники взлома паролей
Пароли по умолчанию
Использование радужных таблиц для взлома хэшей
Аутентификация Microsoft
Взлом системных паролей
Обход паролей BIOS
Инструменты для сброса пароля администратора, паролей приложений, системных паролей
Стеганография и стеганализ
Скрытие данных в структурах файловой системы
Обфускация следов
Стирание артефактов
Перезапись данных и метаданных
Шифрование
Шифрующая файловая система (EFS)
Инструменты восстановления данных EFS
Шифрованные сетевые протоколы
Упаковщики
Руткиты, шаги для их обнаружения
Минимизация следов
Эксплуатация ошибок криминалистических инструментов
Детектирование криминалистических инструментов
Меры противодействия антифорензике
Инструменты, затрудняющие криминалистическую экспертизу
Модуль 7 — Криминалистическая экспертиза операционных систем

Введение в криминалистическую экспертизу ОС
Криминалистическая экспертиза Windows
Методология криминалистической экспертизы Windows
Сбор энергозависимой информации (системное время, зарегистрированные пользователи, открытые файлы, информация о сети, сетевые подключения, информация о процессах, сопоставление процессов и портов, память процесса, состояние сети, файлы очереди печати и др.)
Сбор энергонезависимой информации (файловые системы, настройки реестра, идентификаторы безопасности (SID), журналы событий, файл базы данных ESE, подключенные устройства, файлы гибернации, файл подкачки, скрытые альтернативные потоки и др.)
Анализ памяти Windows (виртуальные жесткие диски (VHD), дамп памяти, механизм создания процесса, анализ содержимого памяти, анализ памяти процесса, извлечение образа процесса, сбор содержимого из памяти процесса)
Анализ реестра Windows (устройство реестра, структура реестра, реестр как файл журнала, анализ реестра, системная информация, информация о часовом поясе, общие папки, беспроводные идентификаторы SSID, служба теневого копирования томов, загрузка системы, вход пользователя, активность пользователя, ключи реестра автозагрузки, USB-устройства, монтируемые устройства, отслеживание активности пользователей, ключи UserAssist)
Кэш, Cookie и анализ истории (Mozilla Firefox, Google Chrome, Microsoft Edge и Internet Explorer)
Анализ файлов Windows (точки восстановления системы, Prefetch-файлы, ярлыки, файлы изображений)
Исследование метаданных (типы метаданных, метаданные в разных файловых системах, метаданные в файлах PDF, метаданные в документах Word, инструменты анализа метаданных)
Журналы (типы событий входа в систему, формат файла журнала событий, организация записей событий, структура ELF_LOGFILE_HEADER, структура записи журнала, журналы событий Windows 10, криминалистический анализ журналов событий)
Инструменты криминалистического анализа Windows
Криминалистическая экспертиза LINUX
Команды оболочки
Файлы журнала Linux
Сбор энергозависимых данных
Сбор энергонезависимых данных
Область подкачки
Модуль 8 — Сетевые расследования, логи и дампы сетевого трафика

Введение в сетевую криминалистику (анализ по журналам и в реальном времени, сетевые уязвимости, сетевые атаки, где искать доказательства)
Основные понятия ведения журналов (лог-файлы как доказательство, законы и нормативные акты, законность использования журналов, записи о регулярно проводимой деятельности в качестве доказательства)
Корреляция событий
Типы корреляции событий
Пререквизиты для корреляции событий
Подходы к корреляции событий
Обеспечение точности лог-файлов
Записывать все
Сохранение времени
Цель синхронизации времени компьютеров
Протокол сетевого времени (NTP)
Использование нескольких датчиков
Управления журналами
Функции инфраструктуры управления журналами
Проблемы с управлением журналами
Решение задач управления журналами
Централизованное ведение журнала
Протокол Syslog
Обеспечение целостности системы
Контроль доступа к журналам
Цифровая подпись, шифрование и контрольные суммы
Анализ журналов
Механизм сетевого криминалистического анализа
Средства сбора и анализа журналов
Анализ журналов маршрутизатора
Сбор информации из таблицы ARP
Анализ журналов брандмауэра, IDS, Honeypot, DHCP, ODBC
Исследование сетевого трафика
Сбор улик посредством сниффинга
Анализаторы сетевых пакетов
Документирование сетевых улик
Реконструкция улик
Модуль 9 — Расследование зловредного программного обеспечения

Концепции и типы вредоносного ПО
Различные способы проникновения вредоносного ПО в систему
Обычные методы, используемые злоумышленниками для распространения вредоносного ПО в интернете
Компоненты вредоносного ПО
Криминалистическая экспертиза вредоносных программ
Зачем анализировать вредоносное ПО
Идентификация и извлечение вредоносных программ
Лаборатория для анализа вредоносных программ
Подготовка тестового стенда для анализа вредоносных программ
Инструменты для анализа вредоносных программ
Общие правила анализа вредоносных программ
Организационные вопросы анализа вредоносных программ
Типы анализа вредоносных программ
Статический анализ
Статический анализ вредоносных программ: отпечатки файлов
Онлайн-службы анализа вредоносных программ
Локальное и сетевое сканирование вредоносных программ
Выполнение поиска строк
Определение методов упаковки / обфускации
Поиск информации о переносимых исполняемых файлах (PE)
Определение зависимостей файлов
Дизассемблирование вредоносных программ
Средства анализа вредоносных программ
Динамический анализ
Мониторинг процессов, файлов и папок, реестра, активности сети, портов, DNS, вызовов API, драйверов устройств, программ автозагрузки, служб Windows
Анализ вредоносных документов
Проблемы анализа вредоносных программ
Модуль 10 — Подготовка отчета о расследовании

Подготовка отчета об исследовании
Классификация отчетов
Руководство по написанию отчета
Рекомендации по написанию отчета
Показания эксперта-свидетеля
Кто такой эксперт-свидетель и его роль
Технический свидетель и эксперт-свидетель
Свидетельство в суде
Общий порядок судебных разбирательств
Общая этика при свидетельстве
Значение графики в показаниях
Как избежать проблем с показаниями
Свидетельствование во время прямой экспертизы
Свидетельствование во время перекрестного допроса
Показания, приобщенные к материалам дела
Работа со СМИ