درباره‌ی این دوره‌ (آنلاین)

با توجه به رشد تهدیدات و جرایم سایبری در سال‌های اخیر، سازمان‌ها باید آمادگی لازم برای ردیابی مجرمین سایبری (Forensic Investigation) در سامانه‌ها  و  زیرساخت خود را داشته باشند. از طرف دیگر  در صورت بروز رخداد امنیتی، سازمانی که تحت حمله قرار گفته است باید قابلیت ردیابی سریع فعالیت‌های مهاجمین را به منظور مقابله با اقدامات آن‌ها و تهدید پیش آمده داشته باشد. همچنین لازم است تا کارشناسان امنیتی سازمان، مدارک مربوط به رخداد امنیتی را با رعایت اصول و استانداردهای قانونی موجود جمع‌آوری کنند تا در صورت نیاز قابلیت ارایه به مراجع قانونی را داشته باشد.

در همین راستا این دوره به‌گونه‌ای طراحی شده است که شما را با طیف گسترده‌ای از تکنیک‌ها و روش‌های Forensic‌ آشنا کند. در واقع با گذراندن این دوره شما خواهید توانست ردپای مهاجمین را در زیرساخت شبکه، سامانه‌های ویندوزی، سامانه‌های لینوکسی و سرویس‌های تحت وب، ردیابی و تحلیل کنید. همچنین کار با فایل‌سیستم‌‌های مختلف، بازیابی اطلاعات دیسک‌ها، بررسی داده‌های موجود در RAM، تحلیل وقایع و در نهایت تهیه‌ی گزارش از مدارک به دست آمده را نیز خواهید آموخت.

  ‌

مدت زمان دوره

مدت این دوره ۴۰ ساعت است که در طی سیزده جلسه، در روزهای یکشنبه و سه‌شنبه‌ی هر هفته  به صورت آنلاین از ساعت ۱۷:۳۰ تا ۲۰:۳۰ برگزار می‌شود. اولین جلسه‌ی این دوره نیز روز یکشنبه مورخ ۹۹/۰۹/۰۲ خواهد بود.

  ‌

این دوره برای چه افرادی توصیه می‌شود؟

این دوره برای کارشناسان امنیت با حداقل ۲ سال  تجربه‌ی کاری در زمینه‌ی دفاع سایبری مناسب است:

• تحلیل‌گران و مهندسین SOC
• کارشناسان فعال در زمینه Forensic Investigation
• کارشناسان امنیت سایبری در سازمان‌ها
• کارشناسان پاسخ‌گویی به تهدیدات سایبری (CSIRT)
• کارشناسان تست نفوذ/تیم قرمز که قصد دارند با راهکارهای تیم‌های دفاعی و تیم‌های آبی بیشتر آشنا شوند

‌

برای شرکت در این دوره چه دانش‌هایی باید داشته باشم؟

• آشنایی با سیستم‌عامل‌های ویندوز و لینوکس در حد متوسط
• آشنایی با پروتکل‌های TCP/IP
• آشنایی با شبکه‌های کامپیوتری در حد متوسط
• آشنایی با مفاهیم حملات و تهدیدات سایبری

برای ثبت‌نام در این دوره می‌توانید از اینجا اقدام کنید.

‌

سرفصل‌های این دوره

Chapter 1. Introduction to Digital Forensics

1.1. Digital Forensics Overview

1.2. Digital Forensics Terminology

1.3. Digital Evidence

1.3.1. Digital Evidence Life Cycle

1.3.1.1. Acquisition

1.3.1.2. Analysis

1.3.1.3. Presentation

1.3.2. Types & Sources of Digital Evidence

1.3.2.1. Active Data

1.3.2.2. Archive and Backup

1.3.2.3. Hidden Data Types

1.3.2.4. Volatility

1.3.2.5. Devices

1.4. Analysis Steps

1.4.1. Creating a Forensic Image

1.5. Investigation Scope

1.6. Crime Reconstruction

1.7. Challenges of Digital Evidence

1.8. Major Concepts

Chapter 2. Data Acquisition

2.1. Data Acquisition Overview

2.1.1. Order of Volatility

2.1.2. Types of Data Acquisition

2.2. Storage Formats

2.3. Acquisition Methods

2.4. Live Data Acquisition

2.5. Tools

2.5.1. Write Blockers

2.5.2. Bootable Disks

2.5.3. Non-Writable USB

2.5.4. FTK Imager

2.5.5. Live Forensic Tools

2.5.6. Memory Forensic Tools

2.5.7. Other Forensic Tools

2.6. Validating Evidence

2.7. Exploring Evidence

Chapter 3. Data Representation and Files Examination

3.1. Introduction

3.2. Data Representation

3.2.1. Bits, Bytes and More

3.2.2. Kilobit vs. Kilobyte

3.2.3. From Decimal to Binary

3.2.4. Hexadecimal

3.2.5. From Binary to Hex

3.2.6. From Hex to Binary

3.2.7. ASCII

3.2.8. View Data in Practice

3.3. File Identification and Structure

3.3.1. File Identification

3.3.2. File Structure

3.4. Metadata

3.4.1. Metadata Locations

3.4.1.1. MFT Attributes

3.4.1.2. File Headers

3.4.1.3. Magic Number

3.4.2. Metadata Types

3.4.2.1. System Metadata

3.4.2.2. DMS

3.4.2.3. Embedded Metadata

3.5. Temporary Files

3.6. Data Hiding Locations

3.7. File Analysis

3.7.1. DOCX Analysis

3.7.2. JPEG Analysis

3.7.3. PDF Analysis

3.7.4. EXE Analysis

Chapter 4. Disks

4.1. Disks Overview

4.2. Hard Disk Drives

4.2.1. Interface Types

4.2.2. BIOS

4.2.3. Solid State Drives

4.2.4. Hard Disk Drives

4.3. Volumes & Partitions

4.4. Disk Partitioning

4.4.1. MBR Partitioning

4.4.2. Disk Partitioning – Jumpers

4.4.3. GPT Partitioning and UEFI

4.4.4. Hidden Protected Area (HPA)

4.5. Tools

4.5.1. WinHex

4.5.2. Active@Disk

4.5.3. HxD

Chapter 5. File Systems

5.1. File Systems Overview

5.2. FAT File System Analysis

5.2.1. FAT Structures

5.2.1.1. Boot Sector

5.2.1.2. BIOS Parameter Block

5.2.1.3. Extended BIOS Parameter Block

5.2.2. FSINO Sector

5.2.3. Boot Strap 7 Reserved Sectors

5.2.4. FAT Area

5.2.5. Data Area

5.2.5.1. Root Directory

5.2.5.2. Short File Name

5.2.5.3. Long File Name

5.2.6. File Allocation

5.2.7. File Deletion

5.3. NTFS File System Analysis

5.3.1. NTFS Structure

5.3.1.1. Volume Boot Record

5.3.1.2. Master File Table

5.3.2. NTFS Attributes

5.3.3. FILE and RAM Slack

5.4. EXT File System Analysis

5.4.1. EXT File System Basics

5.4.2. Superblocks

5.4.3. EXT File System Compatible Features

5.4.4. EXT File System In-Compatible Features

5.5. File Carving

5.6. The Sleuthkit (TSK)

5.6.1. File System Layer Tools

5.6.2. File Name Layer Tools

5.6.3. Metadata Layer Tools

5.6.4. Data Unit Layer Tools

5.7. Other Tools

Chapter 6. Windows Forensics

6.1. Windows Forensics Overview

6.2. User and System Artifacts

6.3. Windows Artifacts

6.3.1. LNK Files

6.3.2. ThumbCache

6.3.3. Volume Shadow Copy

6.3.4. JumpLists

6.3.5. Libraries

6.3.6. Windows Search History

6.3.7. Windows Recycle Bin

6.3.8. Windows Event Log

6.4. System and Application Cache Files

6.4.1. Prefetch Files

6.4.2. Application Compatibility Cache

6.5. Windows Registry

6.5.1. Registry Artifacts

6.5.2. User Hives

6.6. ShellBags

6.7. RAM Acquisition

6.8. USB Forensics

6.9. Active Directory Logs

6.10. MSSQL Logs

Chapter 7. Linux Forensics

7.1. Linux Forensics Overview

7.2. What to Collect?

7.3. Linux Logging

7.4. Memory Acquisition Basics 

7.4.1. Compiling LiME and Dumping RAM

7.4.2. Creating an Image from a Physical Drive

7.5. MySQL Logs

7.6. USB Forensics

Chapter 8. Network Forensics

8.1. Network Forensics Overview

8.2. TCP/IP Protocol Suite

8.3. Classes of Traffic

8.4. Network Devices

8.5. Network Protocols

8.5.1. HTTP

8.5.2. Cryptography and SSL/TLS

8.5.3. SMTP

8.5.4. DNS

8.5.5. DHCP

8.5.6. ICMP

8.5.7. ARP

8.6. Network Forensics

8.6.1. Protocol Analysis

8.6.2. Flow Analysis

8.6.3. File Carving & Data Extraction

8.6.4. Statistical Flow Analysis

8.6.5. Network Forensics

8.7. OSCAR

8.8. Network Evidence Acquisition

8.8.1. Berkeley Packet Filter

8.9. Network Attacks

Chapter 9. Web Forensics Essentials

9.1. Web Forensics Overview

9.2. Web Servers Forensics

9.3. Browser Forensics

9.3.1. Internet Explorer (IE)

9.3.1.1. Edge

9.3.2. Chrome

9.3.3. Firefox

9.4. Email Forensics

9.5. Messaging Forensics

Chapter 10. Log Analysis and Correlation

10.1. Log Analysis Overview

10.2. Logging Infrastructure

10.3. Using Linux Tools for Log Analysis

10.4. Web Logs

10.5. Windows Events

10.6. Syslog

Chapter 11. Timeline Analysis

11.1. Timeline Analysis Overview

11.2. Event Types

11.3. Approaches

11.4. Temporal Proximity

11.5. Timestamp Types

11.6. Timeline Fields

11.7. Creating Timelines

Chapter 12. Reporting

12.1. Introduction

12.2. Tips on Reporting

12.3. How to Write a Report

12.4. Report Structure

12.5. What is a Good Report?

12.6. Report Samples

12.7. Presentation