COMPAREX Akademie

EnCaseDF320 – Erweiterte Analyse von Windows Artefakten mit Encase®

Dauer:
4 Tage
Preis:
2.750,00 €/Person
Kurstyp:
Präsenztraining

Überblick

Tag 1
Neben den weitestgehend bekannten Registry Dateien werden auch UserAssist Registry Daten und Shell-bag Daten analysiert. Um das Erlernte weiter zu festigen, wird auch das User Journal mit in Betracht gezogen. Eine praktische Übung dient Ihnen als weitere Festigung. Im Anschluss daran wird Ihnen das Konzept und die Funktionsweise der Datei Block-Basierten Hash Analyse nähergebracht; dabei wird der Nutzen und die Anwendbarkeit mithilfe verschiedener Beispiele erörtert. Auch hier erhalten Sie in einer kurzen praktischen Übung Gelegenheit dies in Anwendung zu bringen. Der Tag schließt mit dem Besprechen der Windows Event Logs ab. Dabei werden das alte und neue Format der Event Logs, sowie die Möglichkeit beschädigte Logdateien zu reparieren erörtert.

Tag 2
Der zweite Tag beginnt mit einer ausführlichen Einweisung in den Volume Shadow Service von Windows und seiner Aufgabe für forensische Untersuchungen. Neben der Funktionsweise werden Ihnen auch verschiedene Möglichkeiten gezeigt, wie die Daten ausgewertet werden können. Ein EnScript Programm ermöglicht das gleichzeitige Durchsuchen und Dokumentieren relevanter VSS Daten und steigert damit die Effizienz. Bevor wir uns dem Thema der RAIDKonfigurationen widmen, wird eine praktische Übung zur Vertiefung des erworbenen Know-Hows dienen. Es werden sowohl Hardware- als auch Software-RAIDs besprochen, deren unterschiedliche Konfigurationsmöglichkeiten und wie sie jeweils in EnCase wiederhergestellt werden können. Mit dem Besprechen der Funktionsweise, seiner Struktur sowie der Untersuchungsmöglichkeiten des Prefetch schließen wir den Tag ab.

Tag 3
Wir widmen uns den weit verbreiteten SQLite Datenbanken, dem Wiederherstellen von gelöschten SQLite Datenbanken. Anschließend widmen wir uns dem Kapitel der Verschlüsselung. Terminologien, Algorithmen und Verschlüsselung Schlüssel werden dabei ebenso erläutert, wie das Identifizieren von verschlüsselten Daten. Natürlich dürfen dabei auch die verschiedenen Möglichkeiten, die jeweiligen Verschlüsselungen zu entschlüsseln nicht fehlen. Anhand von praktischen Demonstrationen zeigen wir Ihnen, wie Sie an Passwörter gelangen können. Der Tag endet mit dem Besprechen der Windows Suchfunktion, seiner Funktionsweise und dem untersuchen der ESE Datenbankdatei. Praktische Übungen runden die einzelnen Kapitel ab.

Tag 4
Wir befassen uns mit einem umfangreichen Kapitel zur RAM Forensik. Nach Besprechen, wie RAM gesichert werden kann, wird anhand des Volatility Frameworks gezeigt, welche Analysemöglichkeiten es gibt. Unter anderem führen Sie das Extrahieren von Malware aus einem RAM-Dump und seine Verifizierung durch. Auch die Hiberfil.sys Datei und wie es möglich ist, die komprimierten Blöcke zu durchsuchen werden dabei besprochen. Anschließend werden Sie mit dem Thema der Low-Level ZIP Wiederherstellung vertraut gemacht. Dabei gehen wir sowohl auf die Struktur von ZIP Dateien ein, als auch wie diese gefunden, repariert und soweit möglich wiederhergestellt werden können. Am Beispiel einer Word DOCX Datei zeigen wir eine Option, wie diese Technik bei einer forensischen Untersuchung helfen kann. Viele Übungsaufgabe bieten Ihnen die Möglichkeit Ihr erworbenes Wissen nach jedem Kapitel umzusetzen.

Voraussetzung

Verständnis für die Konzepte der Computer-Forensik und Vertrautheit mit der EnCase Forensic Software werden vorausgesetzt.

Anmerkungen

Dieser Kurs basiert auf v8 und ersetzt EnCaseAdv - EnCase v7 Advanced Computer Forensics.

Im Kurspreis enthalten ist die Pausenversorgung: Getränke, Gebäck und ein Mittagessen. Zu unserem Vertragshotel in Leipzig steht Ihnen ein kostengünstiger Shuttleservice zur Verfügung.

Kursinformationen

Tag 1
  • Verstehen der Aufgaben und Struktur der Windows Registry
      Identifizieren, öffnen und extrahieren von Registry Hive Dateien sowohl in EnCase und Windows auf dem forensischen Auswerterechner
      Wiederherstellen benötigter Registry Daten um extrahierten Anwendung auf dem forensischen Auswerterechner starten zu können
      Zuordnen von Domain- und lokalen Benutzer-Konten
      Auswerten von user-assist Registry Daten
      Durchsuchen von Shell-bag Daten in Zusammenhang mit NTFS USN change-log D
  • Datei Wiederherstellung mittels Block-basierter Hash Analyse
  • Windows Event-log Analyse

Tag 2
  • Einfuehrung in die VSS Ausfuehrung sowie erlernen, wie VSS Daten, die durch die Restore-Funktion erstellt worden sind, untersucht werden können
  • Verstehen von RAID Konfigurationen und Stripe Sets
      RAID Level
      Unterschiede zwischen Hardware- und Software RAID
      Auswirkungen von RAIDs auf forensische Untersuchungen
      Akquisitionsoptionen bei RAIDs
      Wiederherstellen von Hardware- und Software RAIDs in EnCase
  • Verstehen und Aufgabe von Prefetch Dateien, ihre Struktur und deren Inhalt
Tag 3
  • Arbeiten mit SQL Datenbanken
  • Wiederherstellen gelöschter SQLite Datenbanken
  • Verstehen von verschlüsselten Daten und seiner Terminologien
  • Grundfunktionen von Verschlüsselungssoftware und der verwendeten Technologien
  • Dekodieren von verschlüsselten Daten
  • Untersuchen von RAM als erweiterte Möglichkeiten von forensischen Untersuchungen
  • Natur und Verwendung von Windows Search, welche seit Windows Vista installiert und aktiv ist und seiner Auswertung
Tag 4
  • Untersuchen von RAM als erweiterte Möglichkeiten von forensishen Untersuchungen
  • Das ZIP Datei Format und wie es die Möglichkeiten des Auffindens und der Wiederherstellung dieser beeinflusst
  • Anwenden des Wissens über das ZIP Datei Format um die aktuellsten Microsoft Word Dokumente finden und wiederherstellen zu können

Zielgruppe

Strafverfolgungsbehörden, Computer-Forensik-Prüfer, Ermittler

Termine und Anmeldung

Alle Termine finden Sie in der Übersicht. Klicken Sie zum Buchen einfach auf das gewünschte Datum. Gern können Sie uns wegen alternativen oder späteren Terminen anfragen.

   Sie haben das passende Training gefunden, aber können nicht zum Schulungsort anreisen? Dann bieten wir Ihnen mit unserem Virtual Classroom eine komfortable Alternative. Mehr Informationen finden Sie hier.

Sollten keine Termine aufgeführt sein, kontaktieren Sie uns bitte zur Terminvereinbarung per Email akademie@comparex.de oder unter: 0341 / 25 68 586.

Weitere Kurse zum Hersteller Guidance Software finden Sie hier.

Garantietermin: Dieser Kurs wird garantiert durchgeführt.

Sonderaktion: Für diesen Kurs gibt es eine Sonderaktion.

Bitte beachten Sie: Die unmittelbar dem Schul- und Bildungszweck dienenden Leistungen der COMPAREX sind überwiegend umsatzsteuerfrei gem. § 4 Nr. 21 a) bb) UStG. Sprechen Sie uns an – wir informieren Sie gern!


Sie haben Fragen? Wir sind für Sie da.

COMPAREX AG

Team der Akademie

Blochstraße 1
04329 Leipzig
Deutschland

+49 341 2568-586
akademie@comparex.de

Team der COMPAREX Akademie
© COMPAREX AG
Zurück nach oben