|
~数字调查软件EnCase@ V6 Computer Forensics Essentials
课程表(中英文授课)
Tel: 020-38469600 Fax: 020-62824205
第1期课程将在2008年6月份在广州开班,以后每2个月开一班。
登记报名请发邮件至:encase@neudia.com
具体课程表见Guidance网站
第1天
l
EnCase 概念
Ø
案例文件
Ø
证据文件
Ø
案例文件备份
Ø
配置文件
l
数字证据的构成
Ø
作为犯罪手段的计算机
Ø
作为证据存储库的计算机
Ø
存储数字证据调查方法的案例
l
计算机如何工作
Ø
启动计算机的顺序
BIOS
POST
等等
……
Ø
Bits位/ Bytes 字节/ Hex 十六进制/ Binary 二进制
l
EnCase 导航
l
磁盘预览/获取
Ø
创建案例
Ø
选项
第1天课程介绍美国FBI和英国苏格兰场的证据调查案例及数字证据的概念, 讲解捕捉和获取数字证据的正确处理方法。学员可以了解计算机运行的总体情况,以及是什么东西构成了数字证据。
第2天
l
NTFS/FAT 文件系统
Ø
这些文件系统如何寻道数据
Ø
创建文件时,会发生什么事情
Ø
删除文件时,会发生什么事情
l
生成启动磁盘
Ø
为何需要证据调查启动磁盘(Sound Boot Disk)
Ø
证据调查启动磁盘的组成
l
硬盘预览与获取(Acquisitions)
Ø
物理盘 VS 逻辑盘
Ø
Fastbloc
Ø
基于DOS的磁盘到磁盘方法
Ø
基于DOS的跨接电缆方法
l
关键字与搜索的创建
Ø
全球性 VS 特殊案例
Ø
选择关键字
Ø
选择从哪里搜索,以及搜索什么
Ø
观测结果
l
标记(Bookmarking)/保存发现结果
Ø
突显数据区域
Ø
指向文件
第2天的课程,将讨论FAT文件系统和NT文件系统的总体情况。课程讲解了使用证据调查启动盘和硬件防写入设备的硬盘获取方法。学员将学会如何在获取之前正确地预览计算机系统,以及探测相关数据的关键字搜索和标记。
第3天
l
文件类型
Ø
图标/描述列(Icons/ Description Column)
l
标记(Bookmarking)技术
Ø
指向文件
Ø
注释
Ø
建立报告书
l
签名分析
Ø
搜索按钮
Ø
全部或选择部分
Ø
比较扩展部分(Extension)与首部(Header)
Ø
解释结果
l
安装外部阅读器
Ø
链接应用到EnCase
Ø
能够链接文件扩展到应用
l
复制(Copy)/恢复(Unerase)选项
l
修复证据
l
获得证据文件
Ø
不必使用原始硬件来改变选项
Ø
快速重新获取(Reacquisition)
第3天课程包括了更多复杂的数据标记方法,以及文件签名的检查,以准确地识别文件系统。学员将学习安装EnCase中的外部阅读器,并学会如何从一个证据文件中复制数据。学员还将学习如何把一个证据文件还原到物理介质,并使用不同的方法重新获取证据。
第4天
l
存档(Archiving)/重开(Reopening)一个归档案例
Ø
什么需要存档
Ø
详细介绍:EnCase证据文件的重开案例
l
证据文件的查证
Ø
改变1位(1 bit),EnCase侦测改变
Ø
任何时候的手工重新查证
l
时间线(Timeline)
l
Windows 的生成物(Artifacts)
Ø
用户帐户
Ø
新近存取的文件
Ø
Intenet高速缓存(Cache)
Ø
桌面/我的文档
l
搜索未分配空间
Ø
使用文件首部作为映像
Ø
显示映像
第4天课程探索了如何归档一个完整的案例,并在未来需要时重新打开这个案例。学员将会观察到EnCase 如何能够侦测和识别一个案例文件内容的任何改变,同时在EnCase中仔细观察时间线(Timeline)的景象。课程将会探测 Windows操作系统和用户帐户中感兴趣的相关区域,并在未分配空间中定位数据。
完成 EnCase@ V6
Essentials和 EnCase@ V6 Advanced培训后,可参加数字调查师EnCE的考试认证。
|
