نظرة عامة كورس التحقيق الجنائي
الهدف من هذا الكورس هو توضيح للطلاب كيفية إجراء التحقيق الجنائي رقمي كامل لنظام Windows في إعداد DIY.
يغطي الكورس تحقيقًا كاملاً في التحقيق الجنائي رقمي لنظام Windows يبدأ الأمر بالإعداد البسيط لمختبرنا، والذي يتكون من إعداد جهاز افتراضي للضحية ومحطة عمل التحقيق الجنائي رقمي.
سنقوم بعد ذلك بتشغيل برنامج نصي لمحاكاة الهجوم على الجهاز الافتراضي للضحية والذي يحاكي أنماط الهجوم كما يلاحظها عادةً ممثلو التهديد في الصناعة لإنشاء بيئة واقعية لتحقيقاتنا.
ومن هناك، سنبدأ عملية التحقيق الجنائي رقمي، بدءًا من جمع البيانات وفحصها واستخراجها قبل التعمق في تحليل المعلومات المتوفرة.
يتكون قسم تحليل البيانات من تحقيق شامل، بما في ذلك الأدوات المختلفة والعديد من أدوات التحقيق الجنائي رقمي المختلفة التي يجب أن يكون كل محلل على دراية بها.
لن نقوم بتحليل القطع الأثرية فحسب، بل سنناقش أيضًا سلوكها لمعرفة متى ولماذا وكيفية تفسير البيانات الموجودة داخل هذه القطع الأثرية. يغطي التحقيق عناصر قرص Windows والذاكرة وينتهي بتحليل الجداول الزمنية الناتجة عن كليهما.
يغطي الكورس أيضًا العديد من العناصر والمفاهيم المهمة المتعلقة بتحليل التحقيق الجنائي رقمي لنظام Windows.
سنستخدم العديد من الأدوات المتاحة مجانًا للتحليل والمعروفة والمعترف بها في الصناعة. سوف يغادر الطالب الدورة مع فهم شامل لعملية الطب الشرعي، والتحف ويندوز الهامة وأدوات الطب الشرعي ومحطة عمل التحقيق الجنائي رقمي المتاحة وجاهزة للذهاب للتحقيقات المستقبلية.
الأشخاص المستهدفين لأخذ كورس التحقيق الجنائي لنظام ويندوز
- المبتدئين الراغبين في دخول مجال الأمن السيبراني.
- محللي SOC وموظفي أمن تقنية المعلومات المبتدئين والكبار.
- مختبرو الاختراق.
- محللي الأمن الحاليين و DFIR.
- أعضاء الفريق الأزرق.
- أعضاء الفريق الأحمر.
- المحامون وموظفو الامتثال.
متطلبات كورس التحقيق الجنائي لنظام ويندوز
- المعرفة الأساسية بتقنية المعلومات.
- الإلمام بأنظمة تشغيل Windows والمحاكاة الافتراضية.
- المعرفة الأساسية بأدوات مساعدة سطر الأوامر (Windows CMD و PowerShell).
- التفكير الناقد والفضول والشغف بالتحقيقات وحل الحالات.
اشهر مواضيع منهج التحقيق الجنائي لنظام ويندوز
- استكشاف السجل بإستخدام Registry Explorer.
- جمع معلومات النظام باستخدام RegRipper.
- تحليل خلايا التسجيل بشكل مجمّع باستخدام RegRipper.
- نظرة عامة على حسابات المستخدمين ومعرفات الأمان (SIDs).
- تحليل حسابات المستخدمين والمجموعات والملفات الشخصية.
- تحليل سلوك المستخدم.
- تحليل مساعدة المستخدم.
- تحليل المستندات الأخيرة
- استكشاف هياكل القرص و NTFS.
- تحليل جدول الملفات الرئيسية MFT.
- نظرة عامة على سجلات MFT.
- تحليل سجلات MFT مع MFTECmd
- تحليل MFT وتحليل متعمق باستخدام MFTECmd.
- الطوابع الزمنية للملفات وتنسيق الطابع الزمني لـ MACB.
- التحقيق في توقيت الملف
- كيف يمكننا العثور على دليل على الملفات المحذوفة؟
- تحليل مجلة USN للملفات المحذوفة
- تحليل مشرف نشاط الخلفية BAM.
- تحليل ذاكرة التخزين المؤقت لتوافق التطبيقات ShimCache.
- تحليل Amcache باستخدام AmcacheParser.
- علاوة تحليل Amcache المتعمق وسبب أهمية المهام المجدولة.
- تحليل الجلب المسبق لنظام التشغيل Windows باستخدام PECmd.
- تحليل الجدول الزمني للجلب المسبق لـ Windows.
- تحليل مفاتيح تشغيل Windows باستخدام Registry Explorer و RegRipper.
- كيفية العثور على دليل على الثبات في مجلدات بدء التشغيل.
- نظرة عامة على خدمات Windows وتحليلها.
- كشف وتحليل المهام المجدولة الضارة.
- تحليل سجلات أحداث Windows باستخدام EventLogExplorer و EvtxECmd.
- تحليل سجل أحداث Windows Defender.
- تحليل عمليات تثبيت الخدمة باستخدام سجل أحداث النظام.
- سجل أحداث الأمان وأحداث المصادقة.
- أحداث المصادقة ومعرفات تسجيل الدخول.
- نظرة عامة على سجلات أحداث PowerShell.
- تحليل أحداث PowerShell الضارة.
- إعداد Volatility في بيئة أوبونتو.
- ملفات مهمة لتحليل الذاكرة
- جمع معلومات نظام Windows باستخدام Volatility.
- الكشف عن عمليات Windows المشبوهة.
- كشف وتحليل ملفات DLL المحقونة.
- تحديد أصحاب العملية ومعرفات الأمان المرتبطة بها
- اكتشاف وتحليل إدخالات مفتاح التسجيل الضارة من الذاكرة
- عملية تحليل الجدول الزمني الفائقة والمتطلبات المهمة
- تحضير الأدوات وتحويل صورة القرص باستخدام QEMU.
- إنشاء الجدول الزمني للذاكرة باستخدام Volatility.
- إنشاء مخطط زمني لصورة القرص باستخدام أدوات Plaso و LogTimeline.
- دمج الجداول الزمنية مع محلل mactime وإنشاء مخطط زمني فائق.
- نظرة عامة على الخط الزمني الفائق باستخدام Timeline Explorer.
- تحليل النشاط الضار باستخدام Super Timeline.
0 تعليقات