به نام خدا

 عنوان دوره : فارنزیک ویندوزSANS FOR500  

 مدرس : مهدی سقایی

مدت زمان دوره:40 ساعت

نحوه برگزاری دوره: حضوری/ اهواز

سرفصل های دوره:

• بخش اول) فارنزیک دیجیتال ویندوز و ارزیابی حرفه ای داده ها
  • آشنایی عمیق با نکات کلیدی ویندوز
  • تکنیک های گردآوری اطلاعات مبتنی بر ارزیابی و پاسخگویی Live
    • گردآوری اطلاعات از RAM
    • استخراج اطلاعات از رجیستری
    • ساخت image های سفارشی شده
    • فارنزیک مبتنی بر ارزیابی – فارنزیک سریع – فایلهای کلیدی
    • پیگیری داده های فرّار
  • بررسی image mounting در ویندوز
  • نکات اساسی در گردآوری حرفه ای اطلاعات
    • تشخیص درایوهای رمزنگاری شده
    • بررسی SSD در برابر هارد درایوهای استاندارد
    • بررسی گردآوری اطلاعات از SSD
  • بررسی فایل سیستم NTFS
  • بررسی Metadata
  • ریکاور کردن فایل (File Carving)
    • مفاهیم ریکاور کردن داده ها
    • از دست رفتن Metadata در فایل سیستم
    • ابزارهای File Carving
  • تحلیل و آنالیز حافظه ، Pagefile و فضای Unallocated
    • ریکاوری و بررسی مستندات
    • ریکاوری داده های چت
    • ریکاوری مرورگرهای مختلف
    • ریکاوری Web Email ها

• بخش دوم) فارنزیک عمیق رجیستری
  • آشنایی با هسته رجیستری
    • Hive ها ، کلید ها و Value ها
    • آخرین زمان نوشته شدن روی رجیستری
    • لیست های MRU
    • بازیابی کلیدهای حذف شده رجیستری
  • پروفایل کاربران و گروه ها
    • کشف کردن نامهای کاربری و SID آنها
    • آخرین لاگین
    • آخرین لاگین ناموفق
    • تعداد لاگین ها
    • سیاستهای امنیتی پسورد
  • اطلاعات اصلی سیستم
    • شناسایی Control Set جاری
    • نام و نسخه و time zone سیستم
    • اطلاعات آدرس ip محلی سیستم
    • اطلاعات شبکه های 3G ، کابلی و بیسیم
    • تاریخچه محل قرارگیری جغرافیایی دستگاه
    • Share های شبکه و کش های offline
    • آخرین shutdown سیستم
  • داده های فارنزیک کاربر
    • مدارک و شواهد اجرای برنامه ها
    • مدارک و شواهد دانلود فایلها
    • مدارک و شواهد دسترسی به فایلها و شاخه ها
    • تحلیل و آنالیز office history
    • تاریخچه جستجوها در سیستم عامل های مختلف
    • مسیرهای تایپ شده در سیستم
    • مستندات (Document) های اخیر
    • مدارک و شواهد باز کردن ، ذخیره سازی و اجرا
    • تاریخچه اجرای application ها از طریق User Assist Key
  • ارائه ابزارهای ویژه

• بخش سوم) فارنزیک تجهیزات USB و Shell Item ها
  • فارنزیک shell item ها
    • لینک / shortcut به فیلها (.lnk) – شواهد و مدارک باز کردن فایل ها
    • بدست آوردن Jump List در ویندوز 7 و 10 – شواهد و مدارک بازکردن فایل و اجرای برنامه
    • تحلیل و آنالیز Shellbag – شواهد و مدارک باز کردن شاخه ها
  • بررسی های فرنزیک USB و BYOD
    • تولید کننده/تاریخچه ساخت/نسخه
    • شماره سریال Unique
    • آخرین درایور مورد استفاده
    • آخرین درایور Map شده به ازای کاربر
    • نام Volume و شماره سریال
    • نام کاربری استفاده کننده USB
    • زمان اتصال اولین دستگاه USB
    • زمان اتصال آخرین دستگاه USB
    • زمان جداسازی آخرین دستگاه USB
    • فارنزیک تجهیزات BYOD
    • فارنزیک تجهیزات USB رمزنگاری شده

• بخش چهارم) ایمیل ها ، نکات کلیدی اضافی و لاگ های ثبت وقایع
  • فارنزیک ایمیل ها
    • شواهد و مدارک ارتباطهای کاربر
    • ایمیل ها چگونه کار می کنند
    • برررسی Header ایمیل
    • مشخص کردن محل جغرافیایی ارسال کننده ایمیل
    • بررسی انواع فرمت های ایمیل
    • تبادل گزینه های قابل بازیابی
    • گردآوری مدارک و شواهد تبادل و export کردن ایمیل ها
    • بازیابی ایمیل های حذف شده
    • ایمیل های مبتنی بر وب و cloud
    • بررسی جستجوی ایمیل ها
  • فارنزیک دستکاری های اضافی ویندوز
    • فارنزیک جستجوی ویندوز
    • بازیابی و ترمیم دیتابیس ESE ویندوز
    • فایلهای Thumbs
    • تحلیل و آنالیز Prefetch ویندوز (ویندوز XP تا ویندوز 10)
    • تحلیل وآنالیز Recycle Bin ویندوز (ویندوز XP تا ویندوز 10)
    • تحلیل و آنالیز AppCompatCache
    • فارنزیک SRUM (مشخص کردن usage بخشهای مختلف سیستم مانند پهنای باند شبکه و ...)
  • تحلیل و آنالیز لاگ ثبت وقایع ویندوز
    • بررسی اهمیت لاگ های ویندوز
    • فارنزیک کامل لاگ فایلهای EVTX و EVT

• بخش پنجم) فارنزیک مرورگرهای وب
  • فارنزیک مرورگرها
    • استخراج تاریخچه
    • استخراج Cache ها
    • استخراج جستجوها
    • استخراج دانلود ها
    • کشف timestamp مرورگرها
    • فارنزیک کامل IE
    • فارنزیک کامل Firefox
    • فارنزیک کامل Chrome
  • بررسی جزئیات مرورگر مانند کوکی ها و ...
  • ارائه ابزارهای ویژه