Главная Обучение Основы использования AccessData Forensic Toolkit для решения криминалистических задач.
Основы использования AccessData Forensic Toolkit для решения криминалистических задач.
Курс: Основы использования AccessData Forensic Toolkit для решения криминалистических задач.
Продолжительность: 2 дня
Описание:
Целью курса является обучение основным приемам использования AccessData Forensic Toolkit для решения экспертных задач. Подготовка к международным сертификационным экзаменам.
Цели курса:
- изучение основ использования AccessData Forensic Toolkit для выполнения компьютерно-технических экспертиз, исследований, расследования инцидентов;
- практическое освоение приемов использования AccessData Forensic Toolkit.
Целевая аудитория:
Специалисты служб информационной безопасности предприятий, а также подразделений, участвующих в расследовании инцидентов в области информационных технологий, IT-специалисты, эксперты СКТЭ, а также те, кто готовится к сертификации ACE.
Программа мероприятия:
- Установка и конфигурирование FTK и ее компонентов.
- Использование FTK Imager для предварительного просмотра доказательств, экспорта исследуемых файлов, создание криминалистических копий исследуемых накопителей, конвертация криминалистических копий накопителей, полученных в других форматах.
- Обзор функций Registry Viewer, включая доступ к Protect Storage System Provider и скрытым ключам, индексирование данных реестра, создание отчетов.
- Использование Registry Viewer для поиска доказательственной информации в реестрах операционных систем семейства Windows.
- Интеграция Registry Viewer с FTK.
- Создание дела в FTK.
- Использование FTK для анализа документов, метаданных, графических файлов и файлов электронной почты.
- Использование закладок, для управления данными, полученными в ходе исследования доказательств.
- Обновление и создание баз хешей KFF.
- Создание и применение файлов фильтров в FTK для использования их в ходе анализа доказательств.
- Создание регулярных выражений. Использование регулярных выражений для осуществления "живого поиска".
- Импорт списка ключевых слов для поиска в индексированных данных.
- Создание и настройка отчетов.
- Использование словарей для восстановления паролей в PRTK.
- Добавление значение из SAM и Syskey в PRTK для восстановления паролей и расшифровки зашифрованных файлов.
- Использование индекса, полученного при анализе носителей, для создания словарей, используемых для подбора паролей.
- Использование FTK для восстановления файлов из неиспользуемого дискового пространства.
- Использование FTK, для извлечения криминалистически значимой информации из файлов Корзины - INFO2.
- Использование FTK для извлечения криминалистически значимой информации из артефактов операционных систем семейства Windows : файлов миниатюр, метаданных, LNK - файлов, Spool -файлов, Prefetch - файлов, альтернативных файловых потоков.