AX250 CIL – Axiom Advanced - Forensictools

Opis AX250 CIL – Axiom Advanced

Advanced Computer Forensics (AX250) to kurs na poziomie eksperckim, przeznaczony dla uczestników, którzy znają zasady informatyki śledczej i chcą wykorzystać Magnet AXIOM do zwiększenia swoich zdolności w badaniu złożonych spraw.

Korzyści

Zdobędziesz wiedzę i umiejętności potrzebne do prześledzenia historii dostępów do urządzenia i plików. Dzięki Magnet AXIOM poznasz najnowsze technologie logowania, takie jak: hasło PIN, Windows Hello, hasło obrazkowe, rozpoznawanie odcisków palców i rozpoznawanie twarzy.
Lepiej poznasz analizę komputerów z zainstalowanym systemem Windows, w tym zaawansowaną analizę artefaktów, takie jak: powiadomienia systemu Windows, wykorzystanie zasobów systemu Windows, dzienniki raportowania błędów systemu Windows (WER), dzienniki zdarzeń (EVT), dzienniki śledzenia zdarzeń (ETl).
Przeanalizujesz artefakt EMDMgmt związane z podłączanymi do systemu nośnikami, które w niektórych przypadkach nie pozostawiają nigdzie indziej śladu.
Zbadasz AppCompatFlags i AMCACHE, aby przeanalizować pliki wykonywalne, które znajdowały się wcześniej w systemie, ale już nie istnieją.
Będziesz śledzić lokalizację plików i folderów na podstawie profili w oparciu o informacje odzyskane z Shellbags.
Zwiększysz ilość informacji wyodrębnionych z plików typu Prefetch, Jumplist (list szybkiego wybierania) oraz Recent Docs (ostatnich plików) do korelacji danych z innych wcześniej analizowanych artefaktów.
Poznasz lepiej możliwości w zbieraniu obrazów RAM i analizowaniu tych obrazów pod kątem przydatnych informacji przydatnych w dochodzeniu.
Użyjesz oprogramowania Passware, generatora listy słów AXIOM w celu złamania zabezpieczeń kopi zapasowych iTunes i hasła Windows.
Przeanalizujesz usługę Google Drive, Modern Apps (Windows Store Apps), UsnJrnl.

Program szkolenia AX250 CIL – Axiom Advanced

Zapoznanie się ze scenariuszem kursu.
Przegląd artefaktów Windows 10 i technologii logowania, takich jak: hasło PIN, Windows Hello, hasło do obrazu, rozpoznawanie odcisków palców i rozpoznawanie twarzy.
Wykorzystanie niezbyt dobrze znanych lokalizacji rejestru do śledzenia numerów seryjnych wolumenów w systemie operacyjnym Windows.
Analiza artefaktów z PCA (Program Copatiliti Assistans)systemu operacyjnego Windows w celu śledzenia oprogramować i użycia plików wykonywalnych w podejrzanych systemie.
Analiza Shellbags w celu zrozumienia czym są i jak można ich użyć w dochodzeniu.
Analiza plików Prefetch File w celu uzyskania informacji dotyczących wykorzystania m.in.: zaszyfrowanych kontenerów i oprogramowania do czyszczenia.
Przyswojenie i pogłębienie informacji, jakie mogą być przechowywane w plikach Prefetch.
Zrozumienie zasady działania Jumplists (listy szybkiego wybierania)oraz możliwość wykorzystania przechowywanych w niej informacji do korelacji danych np. na innych wcześniej przeanalizowanych dyskach (nośnikach).
Wykorzystanie Recent Docs do korelowania danych z różnych okresów oraz na różnych nośnikach i zasobach.
Omówienie zagadnienia dotyczącego zabezpieczania i analizy pamięci RAM przy wykorzystaniu oprogramowania AXIOM.
Zbadanie kiedy pierwszy i ostatni raz dane były udostępniane na innych urządzeniach przy wykorzystaniu technologii synchronizacji. Zrozumienie sposobu udostępniania w systemie Windows innym systemom, w tym przy wykorzystaniu profili WiFi – istniejących i usuniętych.
Przypomnienie informacji na temat tworzenia kopii zapasowych IOS i wykorzystanie generatora listy słów AXIOM (AWG), w tym oprogramowanie Passware.
Wykorzystanie oprogramowania AXIOM, AXIOM Wordlist Generator wraz z kombinacją innych oprogramowani, w celu wyodrębnienia danych w postaci hasła z rejestru systemowego Windows 10.
Badanie kopii zapasowych oraz artefaktów związanych z synchronizacją danych, które mogą być wykorzystane w celu ustalenia czy dane pliki były pobierane do określonego systemu komputerowego.
Zbadanie historii plików, czyli regularnie tworzonych przez Windows 10 kopii zapasowych w folderach Dokumenty, Muzyka, Obrazy, Wideo i Pulpit oraz pliki OneDrive dostępne w trybie offline na komputerze.
Badanie Modern Apps w celu zrozumienia, że historia internetowa i pamięć podręczna tych aplikacji nie są przechowywane w zwykłych lokalizacjach. Odzyskiwanie tych artefaktów.
Sprawdzenie dziennika USNJrln zawierającego informacje dotyczących zmian w plików na wolumenach NTFS. Zmiany mogą dotyczyć tworzenia, usuwania lub modyfikacji plików, w tym katalogów.
Metodologia analizy artefaktu USNJrnl na potrzeby wykonywanych dochodzeń elektronicznych.
Końcowe ćwiczenie praktyczne oparte na scenariuszach, które stanowią zbiorczy przegląd ćwiczeń przeprowadzonych w każdym z poszczególnych modułów kursu.