Visão Geral

Este curso foi concebido para desenvolver praticamente as competências de um ciber-investigador e alargar os seus conhecimentos para revelar potenciais provas de "armas de fumo" de um sistema. Este curso de nível de especialista é para profissionais cujo papel exige a captura e análise de dados de sistemas 'ao vivo'. Introduz as mais recentes diretrizes e artefatos sobre sistemas operativos Windows atuais, e ensina aptidões essenciais para a condução de uma investigação eficiente e abrangente.

Objetivo

Após realizar este curso Certified Forensic Investigation Specialist, você será capaz de:

• Compreender o processo de investigação digital e as melhores práticas
• Construir um dispositivo de recolha de dados USB bootável
• Recolher dados de sistemas Live, Remote e Virtual
• Compreender as estruturas subjacentes associadas aos sistemas de ficheiros NTFS, FAT32 e ExFAT
• Recolher e processar dados voláteis
• Capturar uma caixa de correio a partir de um servidor de troca Microsoft ao vivo
• Investigar um controlador de domínio Windows para identificar sistemas e utilizadores
• Compreender o armazenamento RAID e reconstruir dados
• Software de 'limpeza' de dados de teste
• Compreender os tipos de conta de 'Utilizador
• Investigar logs de eventos do Windows e actividade de dispositivos USB
• Examinar a actividade do utilizador para execução do programa, actividade de ficheiros e navegação no sistema
• Investigar ficheiros de registo
• Consultar bases de dados SQLite do web-browser Chrome e extrair palavras-passe armazenadas
• Explorar e extrair dados de Cópias de Sombras de Volume
• Analisar e interpretar o USN/ Change Log

Publico Alvo

• Este curso destina-se principalmente à prática de investigadores forenses e profissionais de segurança digital com experiência forense em informática que queiram aprofundar e desenvolver as suas competências.
  

Pre-Requisitos

• Principles & general guidelines surrounding forensic investigations
• Experience of carrying out forensic investigations
• A basic computer forensic course e.g. the CFIP course

Informações Gerais

Carga Horária: 32h

• Se noturno este curso é ministrado de Segunda-feira à sexta-feira, das 19h às 23h
• Se aos sábados este curso é ministrado das 9h às 18h
• Se in-company por favor fazer contato para mais detalhes.

Formato de entrega:

• 100% on-line ao vivo, via Microsoft Teams na presença de um instrutor/consultor ativo no mercado.
• Nota: não é curso gravado.

Lab:

• Laboratório + Exercícios práticos  

Materiais

Conteúdo Programatico

Digital Forensic Investigations

1. A review of the investigation process, best practice and equipment

Data Theft

1. How can data be stolen, investigated and possibly mitigated?

Data Acquisition

1. Images and Clones; Static, Booted and Live; Physical and selective
2. Solid State devices
3. Considerations and associated problems

Windows Domains

1. Gathering information from Domain Controllers
2. Capturing File Shares and inaccessible systems

RAID’s and Virtualisation

1. Identifying and rebuilding RAID’s
2. Capturing and examining virtualised systems

Volatile Data

1. Memory capture and volatile data collection from ‘live’ systems
2. Investigating memory using volatility

Data Collection – Other Sources

1. Exchange servers and web-mail
2. Facebook, Websites, Linux and Macs

File Systems Revisited

1. Understanding FAT32, NTFS and ExFAT data structures from a forensic perspective

Data Deletion and Wiping

1. Windows Recycle Bins
2. Testing wiping software

Tracing System Activity

1. Investigating the Windows Registry, User Accounts, Event Logs and USB connected devices

Tracing User Activity

1. Identifying Program execution, Files opened and Folder navigation
2. Windows Object ID’s and file tracking

Log File Analysis

1. Web and FTP logs
2. Examination using Cygwin

Databases

1. SQLite and Chrome browser artefacts

Volume Shadow Copies and File History

1. Approaches to extracting data from VSC’s
2. Windows File History

NTFS Journals

1. Understand the value of the NTFS journal in investigations