O předmětu
Předmět je zaměřen na zajišťování digitálních stop a základní metody zkoumání digitálních dat.
Co se naučíš
Po úspěšném absolvování budou studenti schopni zajistit digitální stopy, vytvořit formální dokumentaci průběhu zajištění dat a zpracování, včetně vypracování zjednodušené závěrečné zprávy.
Obsah předmětu
- blok Přednáška: - Úvod do digitální forenzní analýzy, teorie informace, počítačových systémů a komunikačních technologií - Metody - Definice pojmů - Aplikace DFA - Znalecké zkoumání - Řízení / zvládaní bezpečnostního incidentu Cvičení: - Příprava na zajišťování dat - Chain of custody - Dokumentace při zajištění 2. blok Přednáška: - Druhy digitálních stop - priority zajištění (RAM, aplikační data, HDD) - HW write-blockery - způsoby zajištění Cvičení: - Vytváření obrazů disků - FTK Imager - F-Response - DEAS - Vytváření obrazu paměti - FTK Imager - Dump IT - F-response 3. blok Přednáška: - Obecně o obrazech disků - RAW DD - E01 - AFF - Práce s obrazy disků - Integrita zajištěných stop Cvičení - Připojení obrazu disku - Export dat - Zajišťování vybraných souborů - Hash listy 4. blok Přednáška: - Metodologie zkoumání stop - Zdroje dat: - NIST, ENISA, SANS - Důraz na přezkoumatelnost - Transparentní postupy - Stanovení cílů analýzy -tzn. jaké otázky má analýza zodpovědět - Zhodnocení zda cíle analýzy odpovídají důvodům pro jaké bylo dané konkrétní zařízení zajištěno. - HW a SW prostředky pro zajištění a analýzu počítačových dat - PC Sestavy - EnCase - FTK Cvičení: - Demonstrace dopadů při špatně zvolených metodách zajištění nebo zkoumání stop - Průběžný test 5. blok Přednáška: - Analýza souborového systému - FAT32 - NTFS - EXFAT - HSF+ (okrajově) Cvičení - MFT analýza - Metadata souborového systému (NTFS MFT) - Časové značky - Zadání semestrální práce 6. blok Přednáška: - DataRecovery - Obnova smazaných souborů - Nealokovaná data a slack space - File Signature Analysis Cvičení: - Obnova dat / (R-Studio) - Data Carving 7. blok Přednáška - Artefakty OS Windows Cvičení - Analýza systémových registrů - Analýza Prefetch souborů - Analýza EVT systémových událostí - Alternativní datové streamy 8. blok Přednáška - Zmenšení objemu zkoumaných dat - Super Timeline - E-Discovery Cvičení - Log2timeline - Internet Evidence Finder 9. blok Přednáška - Indexace a vyhledávání dat - Deduplikace dat - Vyhledávání Cvičení - DocFetcher - md5deep 10. blok Přednáška: - Operační paměť - Hiberfil.sys - Procesy a služby v OS Windows Cvičení: - Analýza operační paměti 11. blok Přednáška: - Hesla - Šifrování - Slovníkové útoky - Biografický slovníkový útok - Rainbow Tables útoky Cvičení: - Sestavení a provedení Biografického útoku na šifrovaný dokument - Získání hesla z operační paměti - Manipulace s operační pamětí 12. blok Přednáška: - Formulování závěrů - Reportování Cvičení: - Prezentace seminárních prací 13. blok Přednáška - Závěrečný test
Literatura
Základní: