EC-Council Computer Hacking Forensics Investigator (CHFI) |DTU

Программа C|HFI от EC-Council подготовит вас к эффективному проведению расследований в сфере цифровой криминалистики и поможет достичь состояния судебной готовности в организации. Вы изучите процессы цифровой криминалистики, методы обработки вещественных доказательств, а также процедуры расследования, необходимые для проверки и анализа инцидентов. Это позволит правильно направлять команды реагирования на инциденты. Судебная готовность играет ключевую роль, так как помогает отличить незначительный инцидент от серьезной кибератаки, способной поставить компанию на колени.

Этот интенсивный практический курс погрузит вас в более чем 68 лабораторий судебной экспертизы, где вы будете работать с подготовленными файлами доказательств и использовать инструменты, применяемые ведущими мировыми экспертами в области цифровой криминалистики. Вы освоите не только традиционный анализ аппаратного и оперативного запоминающего устройства, но и современные направления: облачную криминалистику, анализ мобильных устройств и Интернета вещей (IoT), расследование атак на веб-приложения и криминалистический анализ вредоносного ПО.

Программа C|HFI предлагает методологический подход к компьютерной криминалистике, включая поиск и изъятие цифровых данных, контроль цепочки хранения доказательств, их сбор, сохранение, анализ и подготовку отчетов.

Вы научитесь получать и управлять цифровыми доказательствами в различных операционных средах, а также изучите цепочку хранения и правовые процедуры, необходимые для сохранения доказательств и их приемлемости в суде. Эти знания помогут вам привлекать к ответственности киберпреступников и снижать юридические риски для организаций.

Программа предоставляет достоверные профессиональные знания и международно признанную сертификацию, необходимую для успешной карьеры в сфере цифровой криминалистики и расследования инцидентов (DFIR), тем самым повышая вашу конкурентоспособность на рынке труда.

Ключевые особенности и критические компоненты программы C|HFI

? Освойте методологический подход к цифровой криминалистике для проведения расследований:

- - Документирование места преступления
  - Поиск и изъятие доказательств
  - Сохранение вещественных доказательств
  - Получение данных
  - Экспертиза данных
  - Подготовка отчетности

? 15 модулей, охватывающих ключевые области цифровой криминалистики

? 2100+ страниц в подробном учебном руководстве

? 1550+ страниц лабораторного руководства с детальными сценариями и инструкциями

? 600+ инструментов цифровой криминалистики

? 100% соответствие стандарту NICE Special Publication 800-181 (структура кибербезопасности)

? 70+ ГБ файлов с вещественными доказательствами для практики расследований

? 68 лабораторных занятий с практическими заданиями

? 40% учебного времени отведено под лабораторные работы

? Одобрено Министерством обороны США (DoD) по директиве 8570/8140

? Аккредитовано по стандарту ISO/IEC 17024

? Охватывает актуальные базы знаний и навыки для соответствия нормативным стандартам, таким как ISO 27001, PCI DSS, SOX, HIPAA и другие.

Какие навыки вы освоите

? Основы компьютерной криминалистики, различные виды киберпреступлений и методы их расследования, а также нормативные акты и стандарты, влияющие на расследования в сфере цифровой криминалистики

? Различные этапы процесса расследования цифровых инцидентов

? Типы жестких дисков и их характеристики, процесс загрузки и файловые системы Windows, Linux и Mac, инструменты анализа файловых систем, RAID и NAS/SAN-хранилища, различные стандарты кодирования и анализ форматов файлов

? Основы сбора данных и методологии, eDiscovery, а также подготовка образов файлов для судебно-экспертного анализа

? Техники анти-криминалистики, используемые злоумышленниками, методы их обнаружения и инструменты противодействия

? Методы сбора данных (volatile и non-volatile) в Windows: анализ памяти, реестра, приложений, веб-браузеров, а также изучение файлов Windows, ShellBags, LNK-файлов, Jump Lists и событий Windows

? Методы сбора данных (volatile и non-volatile) и анализ памяти в Linux и Mac

? Основы сетевой криминалистики, концепции событийной корреляции, индикаторы компрометации (IOCs) и методы их идентификации по сетевым логам, а также инструменты анализа сетевого трафика, обнаружение инцидентов и расследование атак на беспроводные сети

? Основы криминалистики вредоносного ПО: статический и динамический анализ, анализ поведения систем и сетей, расследование атак программ-вымогателей

? Анализ атак на веб-приложения, угрозы веб-приложениям, лог-файлы IIS и Apache, методы выявления и расследования атак на веб-приложения

? Методология работы браузера Tor и этапы криминалистического анализа в Tor

? Основы облачных технологий, облачной криминалистики и связанных с ней вызовов, а также принципы расследования инцидентов в AWS, Microsoft Azure и Google Cloud

? Компоненты электронной почты, этапы расследования преступлений, связанных с электронной почтой, и криминалистический анализ социальных сетей

? Архитектура и загрузочные процессы устройств Android и iOS, криминалистика мобильных устройств, работа с сотовыми сетями, анализ SIM-карт, логический и физический сбор данных с устройств Android и iOS

? Различные типы угроз IoT, проблемы безопасности, уязвимости и поверхности атак, а также процессы и вызовы, связанные с криминалистическим анализом IoT

Детали экзамена:

? Название экзамена: Computer Hacking Forensic Investigator (CHFI)
? Код экзамена: 312-49
? Количество вопросов: 150
? Длительность: 4 часа
? Доступность: Портал экзаменов EC-Council

Модуль 01: Компьютерная криминалистика в современном мире

? Основы компьютерной криминалистики
? Киберпреступления и методы их расследования
? Цифровые доказательства и eDiscovery
? Готовность к судебной экспертизе
? Роль различных процессов и технологий в компьютерной криминалистике
? Роли и обязанности судебного эксперта
? Проблемы, возникающие при расследовании киберпреступлений
? Стандарты и лучшие практики в цифровой криминалистике
? Законы и правовое соответствие в компьютерной криминалистике

? Основные темы: Область цифровой криминалистики, виды киберпреступлений, атрибуция киберпреступлений, источники цифровых доказательств, федеральные правила доказательств (США), судебная готовность и непрерывность бизнеса, роль ИИ в цифровой криминалистике, автоматизация криминалистики, этический кодекс, стандарты ISO и юридическая комплаенс-экспертиза.

Модуль 02: Процесс расследования компьютерной криминалистики

? Процесс расследования цифровых инцидентов и его значение
? Первая реакция на инцидент
? Предварительный этап расследования
? Основной этап расследования
? Заключительный этап расследования

? Лабораторная работа: Создание образа жесткого диска для криминалистического анализа и восстановление данных.

? Основные темы: Этапы расследования, роли первичного респондента, организация криминалистической лаборатории, аппаратные и программные требования, документирование места преступления, поиск и изъятие данных, сохранение доказательств, анализ кейсов, подготовка отчетов, дача показаний в суде.

Модуль 03: Жесткие диски и файловые системы

? Типы жестких дисков и их характеристики
? Логическая структура дисков
? Процесс загрузки Windows, Linux и macOS
? Файловые системы Windows, Linux и macOS
? Анализ файловых систем
? Системы хранения данных
? Стандарты кодирования и HEX-редакторы
? Анализ популярных форматов файлов

? Лабораторная работа:
? Анализ файловых систем Windows и Linux, восстановление удаленных файлов
? Анализ форматов файлов

? Основные темы: HDD, SSD, интерфейсы дисков, RAID и NAS/SAN-хранилища, стандарты кодирования символов, анализ файлов PDF, Word, PowerPoint, Excel.

Модуль 04: Сбор и дублирование данных

? Сбор цифровых доказательств
? eDiscovery
? Методология сбора данных
? Подготовка образа данных для анализа

? Лабораторная работа:
? Создание криминалистического образа данных и преобразование его в различные форматы.

? Основные темы: Методы сбора данных (live и dead acquisition), инструменты eDiscovery, защита от перезаписи данных, получение volatile и non-volatile данных, проверка подлинности доказательств, криминалистические инструменты работы с образами.

Модуль 05: Противодействие методам анти-криминалистики

? Методы анти-криминалистики
? Удаление данных и восстановление из корзины
? Методы восстановления данных с удаленных разделов
? Взлом и обход паролей
? Стеганография, скрытые данные в файловых системах
? Обфускация следов и изменение расширений файлов
? Техники удаления артефактов, шифрование и минимизация цифрового следа

? Лабораторная работа:
? Анализ SSD-накопителей Windows и Linux
? Восстановление удаленных разделов и файлов
? Взлом паролей приложений
? Обнаружение скрытых потоков данных

? Основные темы: Техники анти-криминалистики, стеганография, альтернативные потоки данных, шифрование, программные упаковщики.

Модуль 06: Криминалистика Windows

? Анализ криминалистических данных Windows
? Сбор volatile и non-volatile данных
? Анализ памяти Windows
? Анализ реестра Windows
? Криминалистический анализ Electron-приложений
? Анализ веб-браузеров
? Изучение метаданных Windows
? Анализ файлов ShellBags, LNK, Jump Lists
? Анализ текстовых логов и событий Windows

? Лабораторная работа:
? Изучение содержимого RAM и реестра Windows
? Анализ артефактов веб-браузеров
? Извлечение цифровых доказательств из компьютеров

? Основные темы: Методы криминалистики Windows, анализ SQLite, анализ событий Windows 11, инструменты криминалистики Windows.

Модуль 07: Криминалистика Linux и Mac

? Сбор оперативной информации в Linux
? Сбор неоперативной информации в Linux
? Криминалистика оперативной памяти в Linux
? Криминалистика Mac
? Сбор оперативной информации в Mac
? Сбор неоперативной информации в Mac
? Криминалистика памяти Mac и инструменты криминалистики Mac

? Лабораторная работа:
? Извлечение оперативных и неоперативных данных с Linux и Mac
? Анализ памяти Linux

? Основные темы: Сбор данных (оперативных и неоперативных), криминалистика памяти Linux и Mac, анализ файловых систем APFS, работа с метаданными Spotlight, инструменты криминалистики Mac.

Модуль 08: Сетевая криминалистика

? Анализ сетевого трафика
? Корреляция событий
? Индикаторы компрометации (IoCs) в сетевых логах
? Расследование сетевого трафика
? Обнаружение и исследование сетевых атак
? Беспроводная сетевая криминалистика

? Лабораторная работа:
? Обнаружение и анализ сетевых атак
? Анализ сетевого трафика на артефакты

? Основные темы: Анализ postmortem и в реальном времени, корреляция событий, анализ логов IDS, honeypot, маршрутизаторов, брандмауэров, DHCP, Cisco Switch, VPN, DNS, SIEM-решения, анализ атак Wi-Fi, расследование атак на беспроводные сети.

Модуль 09: Криминалистика вредоносного ПО

? Основы вредоносного ПО
? Анализ статического вредоносного ПО
? Анализ подозрительных документов
? Анализ поведения системы и сети
? Анализ программ-вымогателей

? Лабораторная работа:
? Анализ статического вредоносного ПО
? Анализ подозрительных PDF и документов Microsoft Office
? Исследование вредоносного ПО Emotet

? Основные темы: Пути заражения вредоносным ПО, его компоненты, артефакты, создание лаборатории анализа, анализ BlackCat (ALPHV).

Модуль 10: Расследование атак на веб-приложения

? Криминалистика веб-приложений
? Логи IIS и Apache
? Выявление атак на веб-приложения

? Лабораторная работа:
? Идентификация и исследование атак на веб-приложения

? Основные темы: OWASP Top 10, методология расследования атак, анализ логов IIS и Apache, исследование атак XSS, SQL-инъекций, командных инъекций, brute-force, XXE и других атак.

Модуль 11: Криминалистика Dark Web

? Dark Web и его криминалистический анализ
? Обнаружение следов браузера Tor
? Криминалистика браузера Tor

? Лабораторная работа:
? Обнаружение активности браузера Tor и анализ дампов RAM

? Основные темы: Работа с браузером Tor, анализ артефактов Dark Web, криминалистический анализ дампов памяти.

Модуль 12: Криминалистика облачных сервисов

? Облачные вычисления
? Криминалистика облачных данных
? Основы AWS, Microsoft Azure, Google Cloud

? Лабораторная работа:
? Сбор и анализ криминалистических данных с Amazon EC2, Azure VM и GCP VM

? Основные темы: OWASP Top 10 угроз для облака, хранение данных и логов в AWS, Azure, GCP, расследование инцидентов в Google Cloud.

Модуль 13: Криминалистика электронной почты и соцсетей

? Основы электронной почты
? Расследование преступлений, связанных с электронной почтой
? Законы США о киберпреступлениях с электронной почтой
? Криминалистика социальных сетей

? Лабораторная работа:
? Анализ подозрительного письма для извлечения доказательств

? Основные темы: Компоненты электронной почты, анализ сообщений, криминалистика социальных сетей, отслеживание активности пользователей, построение графов соцсетей.

Модуль 14: Криминалистика мобильных устройств

? Анализ мобильных устройств
? Архитектура и процесс загрузки Android и iOS
? Анализ данных сотовых сетей
? Анализ файловой системы
? Разблокировка телефонов, root и jailbreak
? Логическое и физическое извлечение данных

? Лабораторная работа:
? Анализ образа Android и восстановление удаленных файлов

? Основные темы: OWASP Top 10 Mobile Risks, файловые системы Android и iOS, разблокировка устройств, извлечение облачных данных, криминалистика WhatsApp, анализ iOS Keychains.

Модуль 15: Криминалистика IoT

? Основы IoT
? Криминалистика устройств IoT

? Основные темы: Архитектура IoT, угрозы и безопасность IoT, криминалистика носимых устройств (умные часы), голосовых помощников (Amazon Echo), криминалистика дронов, JTAG и chip-off анализ.

Вакансии с сертификацией C|HFI

C|HFI охватывает все аспекты анализа цифровой криминалистики, необходимых в современном мире. Программа была протестирована и одобрена ведущими специалистами и практиками в области кибер-криминалистики. От выявления следов взлома до сбора доказательств для судебного разбирательства — C|HFI сопровождает вас на каждом этапе процесса через практическое обучение. Выпускники могут претендовать на более чем 30 востребованных профессий в сфере кибербезопасности.

? Аналитик цифровой криминалистики
? Аналитик/практик компьютерной криминалистики (эксперт, специалист, техник, судебный следователь, руководитель лабораторных проектов)
? Следователь киберпреступлений
? Следователь компьютерных преступлений
? Аналитик цифровой криминалистики в сфере киберзащиты
? Аналитик криминалистики для правоохранительных органов и контрразведки
? Следователь цифровых данных
? Специалист по цифровым преступлениям
? Следователь по компьютерной безопасности
? Аналитик криминалистики сетевых и технологических систем
? Инженер по реагированию на инциденты и цифровой криминалистике
? Специалист по криминалистической визуализации
? Аналитик цифровой криминалистики и eDiscovery
? Аналитик компьютерной криминалистики и выявления вторжений
? Руководитель группы по расследованию вторжений

? Инженер по безопасности – криминалист
? Аналитик вредоносного ПО
? Аналитик/эксперт по криминалистике мобильных устройств
? Аналитик мобильных эксплойтов
? Специалист/аналитик по безопасности информационных систем
? Аудитор информационных технологий
? Криптоаналитик
? Криптограф
? Эксперт по восстановлению после сбоев (Disaster Recovery Expert)
? Аналитик технологий разведки
? Аналитик по реагированию на инциденты в кибербезопасности
? Аналитик облачной безопасности
? Эксперт по криминалистике (Forensics SME)
? Судебный бухгалтер
? Аналитик криминалистики ИТ-безопасности
? Аналитик криминалистики в области кибербезопасности/обороны

? Рекомендуемые предварительные требования для C|HFI:
Профессионалы в сфере IT/криминалистики с базовыми знаниями в области IT/кибербезопасности, компьютерной криминалистики, реагирования на инциденты и векторов угроз.

EC-Council Computer Hacking Forensics Investigator (CHFI) + ваучер CHFI