COMPAREX Akademie

EnCaseDF210 – Durchführung einer Untersuchung (mit Encase®)

Dauer:
4 Tage
Preis:
2.750,00 €/Person
Kurstyp:
Präsenztraining

Überblick

Tag 1
Der Kurs beginnt mit einem Überblick und dem Navigieren der aktuellen EnCase™ Forensic. Anschließend wird Ihnen der Umgang und das Sichern von verschlüsselten Daten anhand von Windows™ BitLocker™ vermittelt. Weiter geht es mit dem Partitionsmodell des Master Boot Records und dem Wiederherstellen von Partitionen. Öffnen von compound Dateistrukturen und deren Strukturen sowie Fragen rund um ihre Untersuchung werden ausführlich diskutiert. Eine wichtige Dateistruktur sind die Windows™ Registry Dateien, welche anschließend im Detail besprochen werden. Dabei wird das Öffnen und Untersuchen dieser Dateien in Zusammenhang mit den Hive Dateien veranschaulicht. Das Ermitteln der Zeitzonen Informationen und deren Signifikanz im Zuge einer forensischen Untersuchung darf dabei natürlich auch nicht fehlen. Sie werden im Anschluss mit den Möglichkeiten des Filterns in EnCase vertraut gemacht. Zum Abschluss steht ein Überblick des EnCase™ Evidence Prozessor und der Verarbeitung des Malone Falles, der für den Rest der Trainingswoche verwendet wird, an.

Tag 2
Der zweite Tag beginnt mit den Dateisystemen FAT, ExFAT und NTFS, nebst den wichtigsten Metadatei, der Master File Table (MFT) und eine praktische Übung dient zum Vertiefen des erlernten Wissens. Um erweiterte Suchen durchführen zu können werden Sie mit den GREP Operatoren in EnCase Forensic vertraut gemacht. Im Anschluss stellen wir die Single Files und logische Beweismitteldateien in EnCase vor und zeigen wie Sie sich diese zur Steigerung der Effizienz zu Nutze machen können. Eine praktische Übung mit der automatischen Aufbereitung eines zweiten Falles beschließt den Tag.

Tag 3
Der dritte Tag konzentriert sich auf die spezifische Analyse verbreiteter Artefakte, welche hilfreiche Informationen bei Untersuchungen liefern können. Diese speziellen Bereiche decken Daten auf, welche ein genaueres Bild über die Aktivitäten des Benutzers abgeben. Eine detaillierte Erklärung von Link Dateien und deren Wichtigkeit bei Untersuchungen sowie ein Besprechen von Druck Spool-Dateien sind ebenfalls Bestandteile des Kurstages. Zudem werden Sie mit der Untersuchung von Email und Internet Historie/Cache Inhalten vertraut gemacht.

Tag 4
Der letzte Kurstag beginnt mit dem Besprechen von Internet Artefakten. Anschließend steht das identifizieren von USB Wechselmedien sowie das Auffinden lokal gespeicherter Daten auf dem Plan. Dieses Wissen wird dann in einer praktischen Übung vertieft. Das Erstellen eines professionellen Berichtes schließt den Lehrplan des Kurses ab. Um das gelernte anzuwenden, steht zum Schluss der Trainingswoche eine umfangreiche praktische Übung an.

Voraussetzung

fundierte Kenntnisse in der Computerkriminalistik

Anmerkungen

Dieser Kurs basiert auf v8 und ersetzt CFII - EnCase Computer Forensik II.

Im Kurspreis enthalten ist die Pausenversorgung: Getränke, Gebäck und ein Mittagessen. Zu unserem Vertragshotel in Leipzig steht Ihnen ein kostengünstiger Shuttleservice zur Verfügung.

Kursinformationen

Tag 1
  • Überblick und Konfiguration von EnCase Forensic
  • Untersuchen von BitLocker verschlüsselten Daten
  • Master Boot Record Partitionsstrukturen und Partitionswiederherstellung
  • Öffnen und Durchsuchen von Compound Dateien
  • Windows Registry
      Elemente der Registry
      Registry Keys (Verzeichnisse) und Werte
  • Auffinden und Untersuchen der Registry hive Dateien
  • Zeitzoneneinstellung in der Registry verifizieren
  • Filtern mit Bedingungen
  • Evidence Processor Übersicht
Tag 2
  • FAT, ExFAT und NTFS Dateisysteme
  • GREP Operatoren
  • Anwendungsbereiche von GREP, angemessene Syntax und mögliche Ergebnisse
  • Single Files und logische Beweismitteldateien
  • Übungsaufgabe und Aufbereiten eines 2. Falles
Tag 3
  • Windows Artefakte
      Benutzer Konten und ihre dazugehörige Daten
      System Verzeichnisse und Dateien die von Interesse sind
      Thumbnail Cache Dateien
  • Wiederherstellen von Papierkorb Informationen
  • Analyse von Link Dateien
  • Verstehen des Druckvorgangs und wiederherstellen der dazugehörigen Dateien
  • Email and Internet Historie
Tag 4
  • Internet Artefakten
  • Identifikation von USB Wechselmedien
  • Praktische Übung zu USB Wechselmedien
  • Erstellen eines Abschlussberichtes
  • Abschlussaufgabe

Zielgruppe

Strafverfolgungsbehörden, Computer-Forensik-Prüfer, Ermittler

Termine und Anmeldung

Alle Termine finden Sie in der Übersicht. Klicken Sie zum Buchen einfach auf das gewünschte Datum. Gern können Sie uns wegen alternativen oder späteren Terminen anfragen.

   Sie haben das passende Training gefunden, aber können nicht zum Schulungsort anreisen? Dann bieten wir Ihnen mit unserem Virtual Classroom eine komfortable Alternative. Mehr Informationen finden Sie hier.

Sollten keine Termine aufgeführt sein, kontaktieren Sie uns bitte zur Terminvereinbarung per Email akademie@comparex.de oder unter: 0341 / 25 68 586.

Standort Juli August September Oktober November Dezember
Hannover 15. - 18. »
 
Weitere Termine

Legende

Durchführungsgarantie – noch Plätze verfügbar.
Durchführung – Wahrscheinlichkeit hoch – noch Plätze verfügbar.
Es sind keine Plätze mehr verfügbar. Bei vielen Kursen besteht dennoch die Möglichkeit online über ein virtuelles Klassenzimmer teilzunehmen. Kontaktieren Sie uns unter akademie@comparex.de oder 0341/2568 586.

Weitere Kurse zum Hersteller Guidance Software finden Sie hier.

Garantietermin: Dieser Kurs wird garantiert durchgeführt.

Sonderaktion: Für diesen Kurs gibt es eine Sonderaktion.

Bitte beachten Sie: Die unmittelbar dem Schul- und Bildungszweck dienenden Leistungen der COMPAREX sind überwiegend umsatzsteuerfrei gem. § 4 Nr. 21 a) bb) UStG. Sprechen Sie uns an – wir informieren Sie gern!


Sie haben Fragen? Wir sind für Sie da.

COMPAREX AG

Team der Akademie

Blochstraße 1
04329 Leipzig
Deutschland

+49 341 2568-586
akademie@comparex.de

Team der COMPAREX Akademie
© COMPAREX AG
Zurück nach oben