DF-CFAD

Computer Forensics Analysis Advanced

È destinato ai frequentatori del corso Computer Forensics Analysis e rappresenta la continuazione dello stesso. In particolare vengono descritte le attività avanzate di Investigazione Digitale, ricorrendo a numerosi casi pratici e simulazione di casi reali.

Cosa si impara

Partendo dalle diverse metodiche di generazione di Timeline temporali (testuali o grafiche), viene descritto il processo di analisi basato su footprint, correlando i risultati provenienti da molteplici sorgenti informative, quali log generati da device o software di sicurezza, con le informazioni provenienti dall’analisi dei media. Vengono inoltre descritte e applicate tecniche di advanced Data Carving mirate al recupero di dati cancellati o offuscati, applicate sia ai media che ai network dump. Una successiva sezione del corso prevede l’applicazione di differenti attività di indagine come la virtualizzazione delle evidence, l’analisi statica e dinamica di binari tramite decompilatori e debugger. Ad integrazione delle attività citate viene descritta la fase di analisi dei RAM Dump, descrivendo le operazioni di ricostruzione delle informazioni e le attività di keyword search mirate al recupero di credenziali o informazioni altrimenti crittografate su disco. Il corso si conclude con i processi di ricerca e analisi dei cosiddetti Windows Artifact, quali l’analisi delle browser cache, del recycle bin e dei log di sistema, sia per sistemi Windows che Unix. Il corso sarà effettuato con l'ausilio di PTK, l’alternativa grafica evoluta per la suite TSK.

Il corso è diretto da Dario Forte >>>

Cosa si impara

Chi dovrebbe partecipare

Destinato esclusivamente ai frequentatori di Computer Forensics Analysis

Visualizza tutto

Contenuto dettagliato

1° GIORNO

1. Analisi dei file system Ext2/3, FAT, NTFS. Partizionamenti DOS e altri sistemi
2. Tecniche di recovery delle partizioni danneggiate
3. Esercizi pratici di acquisizione evidence tramite l’uso degli strumenti dd e aimage
4. PTK: Struttura del software, installazione e funzionalità
5. PTK: Creazione dei casi, aggiunta evidence e loro controllo di integrità
6. PTK: Generazione Timeline testuali e grafiche. Tecniche di individuazione di una compromissione, analisi dei footprint
7. Esercizi pratici di correlazione dei risultati della Timeline con Log event di sistema
8. Analisi dello spazio non allocato e dello slack space
9. Tecniche di keyword search, le espressioni regolari e i loro impieghi
10. PTK: Keyword search. Ricerche di ASCI e Unicode string, nello spazio non allocato, su file frammentati e memory dump search
11. PTK: Generazione di Hash set e suo utilizzo
12. Tecniche di Data Carving su media e network dump

2° GIORNO
1. Virtualizzazione delle immagini, Vmware e LiveView
2. Analisi in ambiente virtualizzato
3. Analisi di binari, Analisi statica vs analisi dinamica. Debugger, disassembler e sandbox.
4. Swap e RAM analysis, Pagefile.sys e Unix swap
5. PTK: RAM dump analysis, volatility
6. Analisi degli eventi. Unix Logs e Windows Event. Vista Logs
7. Analisi dei Windows artifact, web history, recycle bin, registry
8. Analisi degli Unix artifact, logfile, bash history
9. PTK: Sezione di Bookmark e produzione del report
10. Produzione del report di indagini

Computer Forensics Analysis Advanced

Cosa si impara

Cosa si impara

Chi dovrebbe partecipare

Contenuto dettagliato

Contenuto dettagliato

Contenuto dettagliato

Prerequisiti

Corsi successivi

Esami / Certificazioni

Ultimi corsi visualizzati: