Эксперт по цифровой криминалистике (CHFI)

Программа C|HFI от EC-Council подготовит вас к эффективному проведению расследований в сфере цифровой криминалистики и поможет достичь состояния судебной готовности в организации. Вы изучите процессы цифровой криминалистики, методы обработки вещественных доказательств, а также процедуры расследования, необходимые для проверки и анализа инцидентов. Это позволит правильно направлять команды реагирования на инциденты. Судебная готовность играет ключевую роль, так как помогает отличить незначительный инцидент от серьезной кибератаки, способной поставить компанию на колени.

Этот интенсивный практический курс погрузит вас в более чем 68 лабораторий судебной экспертизы, где вы будете работать с подготовленными файлами доказательств и использовать инструменты, применяемые ведущими мировыми экспертами в области цифровой криминалистики. Вы освоите не только традиционный анализ аппаратного и оперативного запоминающего устройства, но и современные направления: облачную криминалистику, анализ мобильных устройств и Интернета вещей (IoT), расследование атак на веб-приложения и криминалистический анализ вредоносного ПО.

Программа C|HFI предлагает методологический подход к компьютерной криминалистике, включая поиск и изъятие цифровых данных, контроль цепочки хранения доказательств, их сбор, сохранение, анализ и подготовку отчетов.

Вы научитесь получать и управлять цифровыми доказательствами в различных операционных средах, а также изучите цепочку хранения и правовые процедуры, необходимые для сохранения доказательств и их приемлемости в суде. Эти знания помогут вам привлекать к ответственности киберпреступников и снижать юридические риски для организаций.

Программа предоставляет достоверные профессиональные знания и международно признанную сертификацию, необходимую для успешной карьеры в сфере цифровой криминалистики и расследования инцидентов (DFIR), тем самым повышая вашу конкурентоспособность на рынке труда.

Ключевые особенности и критические компоненты программы C|HFI

Освойте методологический подход к цифровой криминалистике для проведения расследований:

- - Документирование места преступления
  - Поиск и изъятие доказательств
  - Сохранение вещественных доказательств
  - Получение данных
  - Экспертиза данных
  - Подготовка отчетности

15 модулей, охватывающих ключевые области цифровой криминалистики

2100+ страниц в подробном учебном руководстве

1550+ страниц лабораторного руководства с детальными сценариями и инструкциями

600+ инструментов цифровой криминалистики

100% соответствие стандарту NICE Special Publication 800-181 (структура кибербезопасности)

70+ ГБ файлов с вещественными доказательствами для практики расследований

68 лабораторных занятий с практическими заданиями

40% учебного времени отведено под лабораторные работы

Одобрено Министерством обороны США (DoD) по директиве 8570/8140

Аккредитовано по стандарту ISO/IEC 17024

Охватывает актуальные базы знаний и навыки для соответствия нормативным стандартам, таким как ISO 27001, PCI DSS, SOX, HIPAA и другие.

Какие навыки вы освоите

Основы компьютерной криминалистики, различные виды киберпреступлений и методы их расследования, а также нормативные акты и стандарты, влияющие на расследования в сфере цифровой криминалистики
Различные этапы процесса расследования цифровых инцидентов
Типы жестких дисков и их характеристики, процесс загрузки и файловые системы Windows, Linux и Mac, инструменты анализа файловых систем, RAID и NAS/SAN-хранилища, различные стандарты кодирования и анализ форматов файлов
Основы сбора данных и методологии, eDiscovery, а также подготовка образов файлов для судебно-экспертного анализа
Техники анти-криминалистики, используемые злоумышленниками, методы их обнаружения и инструменты противодействия
Методы сбора данных (volatile и non-volatile) в Windows: анализ памяти, реестра, приложений, веб-браузеров, а также изучение файлов Windows, ShellBags, LNK-файлов, Jump Lists и событий Windows
Методы сбора данных (volatile и non-volatile) и анализ памяти в Linux и Mac
Основы сетевой криминалистики, концепции событийной корреляции, индикаторы компрометации (IOCs) и методы их идентификации по сетевым логам, а также инструменты анализа сетевого трафика, обнаружение инцидентов и расследование атак на беспроводные сети
Основы криминалистики вредоносного ПО: статический и динамический анализ, анализ поведения систем и сетей, расследование атак программ-вымогателей
Анализ атак на веб-приложения, угрозы веб-приложениям, лог-файлы IIS и Apache, методы выявления и расследования атак на веб-приложения
Методология работы браузера Tor и этапы криминалистического анализа в Tor
Основы облачных технологий, облачной криминалистики и связанных с ней вызовов, а также принципы расследования инцидентов в AWS, Microsoft Azure и Google Cloud
Компоненты электронной почты, этапы расследования преступлений, связанных с электронной почтой, и криминалистический анализ социальных сетей
Архитектура и загрузочные процессы устройств Android и iOS, криминалистика мобильных устройств, работа с сотовыми сетями, анализ SIM-карт, логический и физический сбор данных с устройств Android и iOS
Различные типы угроз IoT, проблемы безопасности, уязвимости и поверхности атак, а также процессы и вызовы, связанные с криминалистическим анализом IoT

Детали экзамена:

Название экзамена: Computer Hacking Forensic Investigator (CHFI)
Код экзамена: 312-49
Количество вопросов: 150
Длительность: 4 часа
Доступность: Портал экзаменов EC-Council

Модуль 01: Компьютерная криминалистика в современном мире

Основы компьютерной криминалистики
Киберпреступления и методы их расследования
Цифровые доказательства и eDiscovery
Готовность к судебной экспертизе
Роль различных процессов и технологий в компьютерной криминалистике
Роли и обязанности судебного эксперта
Проблемы, возникающие при расследовании киберпреступлений
Стандарты и лучшие практики в цифровой криминалистике
Законы и правовое соответствие в компьютерной криминалистике

Основные темы: Область цифровой криминалистики, виды киберпреступлений, атрибуция киберпреступлений, источники цифровых доказательств, федеральные правила доказательств (США), судебная готовность и непрерывность бизнеса, роль ИИ в цифровой криминалистике, автоматизация криминалистики, этический кодекс, стандарты ISO и юридическая комплаенс-экспертиза.

Модуль 02: Процесс расследования компьютерной криминалистики

Процесс расследования цифровых инцидентов и его значение
Первая реакция на инцидент
Предварительный этап расследования
Основной этап расследования
Заключительный этап расследования

Лабораторная работа: Создание образа жесткого диска для криминалистического анализа и восстановление данных.

Основные темы: Этапы расследования, роли первичного респондента, организация криминалистической лаборатории, аппаратные и программные требования, документирование места преступления, поиск и изъятие данных, сохранение доказательств, анализ кейсов, подготовка отчетов, дача показаний в суде.

Модуль 03: Жесткие диски и файловые системы

Типы жестких дисков и их характеристики
Логическая структура дисков
Процесс загрузки Windows, Linux и macOS
Файловые системы Windows, Linux и macOS
Анализ файловых систем
Системы хранения данных
Стандарты кодирования и HEX-редакторы
Анализ популярных форматов файлов

Лабораторная работа:
Анализ файловых систем Windows и Linux, восстановление удаленных файлов
Анализ форматов файлов

Основные темы: HDD, SSD, интерфейсы дисков, RAID и NAS/SAN-хранилища, стандарты кодирования символов, анализ файлов PDF, Word, PowerPoint, Excel.

Модуль 04: Сбор и дублирование данных

Сбор цифровых доказательств
eDiscovery
Методология сбора данных
Подготовка образа данных для анализа

Лабораторная работа:
Создание криминалистического образа данных и преобразование его в различные форматы.

Основные темы: Методы сбора данных (live и dead acquisition), инструменты eDiscovery, защита от перезаписи данных, получение volatile и non-volatile данных, проверка подлинности доказательств, криминалистические инструменты работы с образами.

Модуль 05: Противодействие методам анти-криминалистики

Методы анти-криминалистики
Удаление данных и восстановление из корзины
Методы восстановления данных с удаленных разделов
Взлом и обход паролей
Стеганография, скрытые данные в файловых системах
Обфускация следов и изменение расширений файлов
Техники удаления артефактов, шифрование и минимизация цифрового следа

Лабораторная работа:
Анализ SSD-накопителей Windows и Linux
Восстановление удаленных разделов и файлов
Взлом паролей приложений
Обнаружение скрытых потоков данных

Основные темы: Техники анти-криминалистики, стеганография, альтернативные потоки данных, шифрование, программные упаковщики.

Модуль 06: Криминалистика Windows

Анализ криминалистических данных Windows
Сбор volatile и non-volatile данных
Анализ памяти Windows
Анализ реестра Windows
Криминалистический анализ Electron-приложений
Анализ веб-браузеров
Изучение метаданных Windows
Анализ файлов ShellBags, LNK, Jump Lists
Анализ текстовых логов и событий Windows

Лабораторная работа:
Изучение содержимого RAM и реестра Windows
Анализ артефактов веб-браузеров
Извлечение цифровых доказательств из компьютеров

Основные темы: Методы криминалистики Windows, анализ SQLite, анализ событий Windows 11, инструменты криминалистики Windows.

Модуль 07: Криминалистика Linux и Mac

Сбор оперативной информации в Linux
Сбор неоперативной информации в Linux
Криминалистика оперативной памяти в Linux
Криминалистика Mac
Сбор оперативной информации в Mac
Сбор неоперативной информации в Mac
Криминалистика памяти Mac и инструменты криминалистики Mac

Лабораторная работа:
Извлечение оперативных и неоперативных данных с Linux и Mac
Анализ памяти Linux

Основные темы: Сбор данных (оперативных и неоперативных), криминалистика памяти Linux и Mac, анализ файловых систем APFS, работа с метаданными Spotlight, инструменты криминалистики Mac.

Модуль 08: Сетевая криминалистика

Анализ сетевого трафика
Корреляция событий
Индикаторы компрометации (IoCs) в сетевых логах
Расследование сетевого трафика
Обнаружение и исследование сетевых атак
Беспроводная сетевая криминалистика

Лабораторная работа:
Обнаружение и анализ сетевых атак
Анализ сетевого трафика на артефакты

Основные темы: Анализ postmortem и в реальном времени, корреляция событий, анализ логов IDS, honeypot, маршрутизаторов, брандмауэров, DHCP, Cisco Switch, VPN, DNS, SIEM-решения, анализ атак Wi-Fi, расследование атак на беспроводные сети.

Модуль 09: Криминалистика вредоносного ПО

Основы вредоносного ПО
Анализ статического вредоносного ПО
Анализ подозрительных документов
Анализ поведения системы и сети
Анализ программ-вымогателей

Лабораторная работа:
Анализ статического вредоносного ПО
Анализ подозрительных PDF и документов Microsoft Office
Исследование вредоносного ПО Emotet

Основные темы: Пути заражения вредоносным ПО, его компоненты, артефакты, создание лаборатории анализа, анализ BlackCat (ALPHV).

Модуль 10: Расследование атак на веб-приложения

Криминалистика веб-приложений
Логи IIS и Apache
Выявление атак на веб-приложения

Лабораторная работа:
Идентификация и исследование атак на веб-приложения

Основные темы: OWASP Top 10, методология расследования атак, анализ логов IIS и Apache, исследование атак XSS, SQL-инъекций, командных инъекций, brute-force, XXE и других атак.

Модуль 11: Криминалистика Dark Web

Dark Web и его криминалистический анализ
Обнаружение следов браузера Tor
Криминалистика браузера Tor

Лабораторная работа:
Обнаружение активности браузера Tor и анализ дампов RAM

Основные темы: Работа с браузером Tor, анализ артефактов Dark Web, криминалистический анализ дампов памяти.

Модуль 12: Криминалистика облачных сервисов

Облачные вычисления
Криминалистика облачных данных
Основы AWS, Microsoft Azure, Google Cloud

Лабораторная работа:
Сбор и анализ криминалистических данных с Amazon EC2, Azure VM и GCP VM

Основные темы: OWASP Top 10 угроз для облака, хранение данных и логов в AWS, Azure, GCP, расследование инцидентов в Google Cloud.

Модуль 13: Криминалистика электронной почты и соцсетей

Основы электронной почты
Расследование преступлений, связанных с электронной почтой
Законы США о киберпреступлениях с электронной почтой
Криминалистика социальных сетей

Лабораторная работа:
Анализ подозрительного письма для извлечения доказательств

Основные темы: Компоненты электронной почты, анализ сообщений, криминалистика социальных сетей, отслеживание активности пользователей, построение графов соцсетей.

Модуль 14: Криминалистика мобильных устройств

Анализ мобильных устройств
Архитектура и процесс загрузки Android и iOS
Анализ данных сотовых сетей
Анализ файловой системы
Разблокировка телефонов, root и jailbreak
Логическое и физическое извлечение данных

Лабораторная работа:
Анализ образа Android и восстановление удаленных файлов

Основные темы: OWASP Top 10 Mobile Risks, файловые системы Android и iOS, разблокировка устройств, извлечение облачных данных, криминалистика WhatsApp, анализ iOS Keychains.

Модуль 15: Криминалистика IoT

Основы IoT
Криминалистика устройств IoT

Основные темы: Архитектура IoT, угрозы и безопасность IoT, криминалистика носимых устройств (умные часы), голосовых помощников (Amazon Echo), криминалистика дронов, JTAG и chip-off анализ.

Вакансии с сертификацией C|HFI

C|HFI охватывает все аспекты анализа цифровой криминалистики, необходимых в современном мире. Программа протестирована и одобрена ведущими специалистами и практиками в области кибер-криминалистики. От выявления следов взлома до сбора доказательств для судебного разбирательства — C|HFI сопровождает вас на каждом этапе процесса через практическое обучение. Выпускники могут претендовать на более чем 30 востребованных профессий в сфере кибербезопасности.

Примеры должностей для выпускников C|HFI:

Аналитик цифровой криминалистики
Аналитик/практик компьютерной криминалистики (эксперт, специалист, техник, судебный следователь, руководитель лабораторных проектов)
Следователь киберпреступлений
Следователь компьютерных преступлений
Аналитик цифровой криминалистики в сфере киберзащиты
Аналитик криминалистики для правоохранительных органов и контрразведки
Следователь цифровых данных
Специалист по цифровым преступлениям
Следователь по компьютерной безопасности
Аналитик криминалистики сетевых и технологических систем
Инженер по реагированию на инциденты и цифровой криминалистике
Специалист по криминалистической визуализации
Аналитик цифровой криминалистики и eDiscovery
Аналитик компьютерной криминалистики и выявления вторжений
Руководитель группы по расследованию вторжений
Инженер по безопасности – криминалист
Аналитик вредоносного ПО
Аналитик/эксперт по криминалистике мобильных устройств
Аналитик мобильных эксплойтов
Специалист/аналитик по безопасности информационных систем
Аудитор информационных технологий
Криптоаналитик
Криптограф
Эксперт по восстановлению после сбоев (Disaster Recovery Expert)
Аналитик технологий разведки
Аналитик по реагированию на инциденты в кибербезопасности
Аналитик облачной безопасности
Эксперт по криминалистике (Forensics SME)
Аналитик криминалистики ИТ-безопасности
Аналитик криминалистики в области кибербезопасности/обороны

Рекомендуемые предварительные требования для C|HFI:
Профессионалы в сфере IT/криминалистики с базовыми знаниями в области IT/кибербезопасности, компьютерной криминалистики, реагирования на инциденты и векторов угроз.

Computer Hacking Forensics Investigator (CHFI)