Agenda warsztatów z informatyki śledczej (5 dni) Dzień 1 9.15-9.30 Wprowadzenie 9.30-11.00 Pojęcie dowodu elektronicznego Polskie i Europejskie regulacje prawne Obsługa incydentów bezpieczeństwa wg SANS Institute, ISO TR 18044, PN-ISO/IEC 27001, NIST 800-61 TRIAGE w informatyce śledczej 11.15-13.00 Pozyskiwanie i zabezpieczanie danych RFC 3227 Protokół oględzin komputera Łańcuch dowodowy Najlepsze praktyki procedury 14.00-15.00 Metody zabezpieczania danych Struktura fizyczna i logiczna dysków twardych Zabezpieczanie danych - część 1 (z wykorzystaniem oprogramowania) Ćwiczenia z oprogramowaniem do zabezpieczania danych (np. dd, dcfldd, Guidance, F-Response) 15.15-17.00 Zabezpieczanie danych - część 2 (z wykorzystaniem narzędzi) Weryfikacja poprawności wykonania kopii binarnych (funkcje skrótu) Ćwiczenia z narzędziami do zabezpieczania danych (ćwiczenia z wykorzystaniem przenośnego laboratorium)
Dzień 2 9.00-9.15 Podsumowanie dnia pierwszego 9.15-9.45 Metody zabezpieczania danych ulotnych z systemów Microsoft Windows 9.45-10.15 Najważniejsze struktury danych (KPCR, KTHREAD, EPROCESS) i obiekty Ćwiczenia z WinDbg oraz LiveKD 10.15-10.30 Ćwiczenia - zabezpieczanie danych z MoonSols Windows Memory Toolkit 10.30-11.00 Analiza obrazu pamięci RAM - część 1 Wykrywanie infekcji komputera Wykrywanie śladów aktywności użytkowników Ćwiczenia z Volatility 11.30-13.00 Analiza obrazu pamięci RAM - część 2 Wykrywanie śladów włamań Ćwiczenia z Volatility 14.00-15.00 System plików FAT Ćwiczenia z analizy systemu plików FAT 15.15-17.00 System plików NTFS Ćwiczenia z analizy systemu plików NTFS
Dzień 3 9.00-9.15 Podsumowanie dnia drugiego 9.15-10.15 System plików EXT2/EXT3 Ćwiczenia z analizy systemu plików EXT2/EXT3 10.15-11.00 System plików JFS Ćwiczenia z analizy systemu plików JFS 11.15-13.00 Wyszukiwanie danych, identyfikacja pofragmentowanych plików - część 1 Tworzenie własnych narzędzi do analizy Slack space 14.00-15.00 Wyszukiwanie danych (słowa kluczowe, wyrażenia regularne, sumy skrótu), identyfikacja i odtwarzanie pofragmentowanych plików - część 2 15.15-17.00 Zabezpieczanie danych z macierzy Ćwiczenia z technik zabezpieczania danych z macierzy Dzień 4 9.00-9.15 Podsumowanie dnia trzeciego 9.15-10.00 Przygotowanie danych do analizy Bazy znanych plików Meta-dane opisujące pliki
Formaty przechowywania danych do analizy Rainbow Tables Usuwanie hasła z systemu Microsoft Windows 10.00-11.00 Praktycznie ćwiczenia z oprogramowaniem do informatyki śledczej (EnCase, ProDiscover, Registry Viewer, WinHex, SleuthKit, HashCoverter, Live View i wiele innych) 11.15-11.30 Wprowadzenie do studium przypadku. Uczestnicy zapoznają się ze scenariuszem, który będzie rozpatrywany w kolejnych etapach warsztatów. 11.30-13.00 Aktywność użytkowników - część 1 Historia aktywności (ang. timeline) w systemie Microsoft Windows Dzienniki zdarzeń systemu operacyjnego i aplikacji (Microsoft Windows) Rejestry systemu Microsoft Windows o Aktywność USB o Uruchamiane aplikacje o Identyfikacja nielegalnego oprogramowania Inne kluczowe pliki i katalogi w systemie Microsoft Windows (np. Recycle Bin, links, Prefetch, tmp, Restore Points, Shadow Volume Copy) 14.00-15.00 Aktywność użytkowników - część 2 Analiza wiadomości email i identyfikacja nadawcy Usunięte dane z systemu plików NTFS i FAT 15.15-17.00 Aktywność użytkowników - część 3 Usunięte dane z systemu plików
Aktywność webmail Dzień 5 9.00-9.15 Podsumowanie dnia czwartego 9.15-11.00 Aktywność użytkowników - część 4 Przeglądarki WWW historia aktywności (Internet Explorer, Mozilla Firefox, Google Chrome) Aplikacje historia zmian w dokumentach, meta-dane, pliki tymczasowe (na przykładzie pakietu Microsoft Office) Komunikatory (aplikacje instalowane na badanym dysku i aplikacje online) historia komunikacji 11.15-13.00 Ukrywanie danych - część 1 Ukrywanie danych na dyskach Ukrywanie danych w systemie plików Ukrywanie danych w meta danych Steganografia Wymazywanie danych i weryfikacja 14.00-15.00 Podsumowanie studium przypadku Przygotowanie raportu końcowego / opinii 15.15-16.15 Egzamin