Основы цифровой криминалистики (Digital Forensics)
Изучите основы цифровой криминалистики, работая с типами артефактов, на которые полагаются следователи после взлома системы. Когда данные на системе удаляются, изменяются или частично уничтожаются, успех расследования зависит от правильного сохранения улик и извлечения полезной информации из того, что удалось восстановить. Этот курс научит вас создавать образы накопителей, восстанавливать удаленные материалы, анализировать метаданные и выстраивать хронологию событий на основе доказательств, полученных из скомпрометированных файлов.
Почему это важно
Криминалистика — это не просто поиск интересных файлов. Это обеспечение целостности доказательств, восстановление данных без повреждения исходного носителя и извлечение достаточного контекста для объяснения произошедшего. Эти навыки критически важны при реагировании на инциденты, проведении юридических проверок и анализе последствий взлома.
Данный курс посвящен фундаментальным рабочим процессам дисковой криминалистики. Вы научитесь создавать побитовые образы, восстанавливать удаленный контент из «сырых» данных, изучать метаданные файлов и применять эти методы в комплексе в рамках реалистичного сценария расследования.
Чему вы научитесь
- Создавать и проверять криминалистические образы, не изменяя исходные доказательства.
- Восстанавливать удаленные или скрытые файлы из «сырых» данных накопителей.
- Извлекать метаданные из документов и изображений для поддержки анализа хронологии событий.
- Понимать, как файловые артефакты помогают в реконструкции инцидентов.
- Исследовать скомпрометированные носители информации с использованием дисциплинированного криминалистического подхода.
План курса
- Криминалистическое создание образов с помощью
dd: создание доверенных «сырых» копий доказательств и проверка их целостности с помощью хеш-сумм. - Карвинг файлов и восстановление данных: восстановление удаленных материалов из образов дисков с использованием методов карвинга (file carving).
- Анализ метаданных файлов: извлечение скрытых контекстных данных из восстановленных файлов с помощью таких инструментов, как
ExifTool. - Практический вызов для криминалиста: применение навыков создания образов, восстановления данных и анализа метаданных при расследовании инцидента в скомпрометированной системе.
Для кого этот курс
- Для тех, кто начинает свой путь в области цифровой криминалистики и реагирования на инциденты.
- Для аналитиков безопасности, которым необходимо укрепить фундаментальные знания по работе с доказательствами.
- Для специалистов по защите, желающих получить практическое введение в восстановление дисковых артефактов и построение хронологии событий.
Результаты
По окончании этого курса вы сможете правильно сохранять дисковые доказательства, восстанавливать полезные криминалистические артефакты, а также использовать метаданные и восстановленные файлы для формирования четкой картины действий злоумышленника.
