Экспертная цифровая криминалистика

Профиль аудитории:

• Системные и сетевые инженеры, администраторы и специалисты в области сетевой безопасности, архитекторы безопасности.

Предварительные требования:

• Продвинутые навыки системного администрирования.

По окончании курса слушатели смогут:

• Выполнять глубокий анализ файловой системы Windows;
• Восстанавливать удаленные файлы;
• Выполнять анализ сетевого трафика;
• Выполнять анализ оперативной памяти;
• Выполнять анализ с использованием временной шкалы.

День 1

Курс начнется с более глубокого изучения цифровой криминалистики для Windows-систем. Слушатели должны обладать знаниями двоичной и шестнадцатеричной систем счисления, которые нужны для анализа файловых систем, структуры разделов жесткого диска и анализа MBR. В курсе рассматриваются файловые системы, использующиеся в ОС Windows, затем более глубоко изучается файловая система NTFS. Используется Hex-редактор для анализа NTFS и понимания значения штампов времени, хранящихся в записях MFT файловой системы. В конце занятия слушатели разберутся в том, как файловая система хранит и удаляет файлы и смогут приступить к восстановлению данных.

Модуль 1 Глубокий анализ Windows

• Двоичная и шестнадцатеричная системы
• Анализ дисковых разделов и MBR
• Структура файловой системы
• Различные файловые системы Windows
• Основы NTFS
• Анализ MFT и штампов времени файловой системы

День 2

Восстановление данных широко используется в криминалистике. В течение второго дня рассматривается разница между удаленными (deleted) и стертыми (wiped) файлами с точки зрения файловой системы и процесс восстановления файлов. Будут рассмотрены сигнатуры файлов и процесс file carving, так как удаленные файлы более не связаны с файловой системой, а также важность использования точек восстановления Windows и Volume Shadow Copies для восстановления данных.

Действия вредоносного ПО обычно так или иначе включают некоторую сетевую активность. Кража конфиденциальной информации, например, предполагает передачу данных по сети. Поэтому анализ сетевого трафика позволяет в процессе исследования глубже понять работу вредоносного кода. В третьем модуле рассматриваются вопросы сбора и анализа сетевого трафика с использованием различных программных и аппаратных средств.

Трудности, с которыми столкнулись цифровые криминалисты, связаны с развитием новых технологий. Облачные технологии являются одними из наиболее быстро развивающихся в последние годы. Поэтому в курсе также рассматривается различные типы развертываний облаков и как к ним применима так называемая облачная криминалистика.

Модуль 2 Восстановление данных

• Восстановление удаленных файлов
• File carving (foremost, bulk_extractor)
• Restore Point и Volume Shadow Copy

Модуль 3 Анализ сети и облачных сервисов

• Сбор сетевого трафика
• Анализ сетевого трафика (Wireshark, Bro, Network miner)
• Анализ облачных сервисов SaaS, PaaS, IaaS

День 3

Оперативная память часто содержит важные системные данные. Также системная память является важнейшим источником данных при анализе. Можно использовать различные утилиты для сохранения содержимого оперативной памяти в файл для последующего анализа. В четвертом модуле рассматривается, как работает оперативная память и некоторые техники обнаружения вредоносной активности в памяти. Слушатели получат необходимые знания и навыки, необходимые для оффлайн-анализа памяти, извлечения информации о запущенных процессах, сетевых соединениях, вредоносной активности, открытых файлах реестра и извлечению (dump) исполняемых файлов из памяти.

Модуль 4 Анализ оперативной памяти

• Основы работы с оперативной памятью в Windows
• Память в виртуализации
• Volatility framework
• Rekall framework

День 4

Штампы времени чрезвычайно важны для отслеживания определенных активностей системы во время анализа. Исследователь создает с определенного момента временную шкалу, с расположенными на ней пользователями, программами и системными процессами. В пятом модуле слушатели научатся понимать различные штампы времени и извлекать улики из временной шкалы.

Модуль 5 Анализ на временной шкале

• Основы работы с временной шкалой
• Построение временной шкалы на основании активности файловой системы
• Super Timeline (log2timeline и Plaso framework)

День 5

Последний день курса посвящен практическим занятиям. Слушатели применят полученные знания и навыки в тестовом сценарии, который включает образы жесткого диска, памяти и сетевого трафика, имеющие отношение к реально проведенной атаке. Проанализировав полученные данные, слушатели поделятся полученными результатами с другими участниками и с инструктором.

Полученные навыки

• Навыки анализа файловых систем и восстановления удаленных файлов;
• Анализ сетевого трафика и оперативной памяти;
• Восстановление инцидента на временной шкале.