Sunday, November 27, 2016

Digital Forensics Exam

Digital Forensics Exam

Digital Forensics Exam

Computer  Forensics Exam

A technician is conducting a forensics analysis on a computer system. Which of the following should bedone FIRST?
A. Look for hidden files.
B. Analyze temporary files.
C. Get a binary copy of the system.
D. Search for Trojans.


Answer: C

Which of the following prevents damage to evidence during forensic analysis?
A. Write-only drive connectors
B. Drive sanitization tools
C. Read-only drive connectors
D. Drive recovery tools


Answer: C
 

Which of the following is a common practice in forensic investigation?
A. Performing a Gutman sanitization of the drive
B. Performing a binary copy of the systems storage media
C. Performing a file level copy of the systems storage media
D. Performing a sanitization of the drive


Answer: B
 

Which of the following is established immediately upon evidence seizure?
A. Start the incident respond plan
B. Damage and loss control
C. Chain of custody
D. Forensic analysis


Answer: C


Which of the following should Jane, a security administrator, perform before a hard drive is analyzed with forensics tools?
A. Identify user habits
B. Disconnect system from network
C. Capture system image
D. Interview witnesses


Correct Answer: C

A security administrator needs to image a large hard drive for forensic analysis. Which of the following will allow for faster imaging to a second hard drive?
A. cp /dev/sda /dev/sdb bs=8k
B. tail -f /dev/sda > /dev/sdb bs=8k
C. dd in=/dev/sda out=/dev/sdb bs=4k
D. locate /dev/sda /dev/sdb bs=4k


Correct Answer: C

The security manager received a report that an employee was involved in illegal activity and has saved data to a workstation’s hard drive. During the investigation, local law
enforcement’s criminal division confiscates the hard drive as evidence. Which of the following forensic procedures is involved?
A. Chain of custody
B. System image
C. Take hashes
D. Order of volatility


Correct Answer: A
 
Which of the following is the MOST important step for preserving evidence during forensic procedures?
A. Involve law enforcement
B. Chain of custody
C. Record the time of the incident
D. Report within one hour of discovery


Correct Answer: B

Matt, a forensic analyst, wants to obtain the digital fingerprint for a given message. The message is 160-bits long. Which of the following hashing methods would Matt have to use to obtain this digital fingerprint?
A. SHA1
B. MD2
C. MD4
D. MD5


Correct Answer: A
 

After making a bit-level copy of compromised server, the forensics analyst Joe wants to verify that he bid not accidentally make a change during his investigation. Which of the
following should he perform?
A. Take a hash of the image and compare it to the one being investigated
B. Compare file sizes of all files prior to and after investigation
C. Make a third image and compare it to the second image being investigated
D. Compare the logs of the copy to the actual server


Correct Answer: A


 An intrusion has occurred in an internet facing system. The security administrator would like to gather forensic evidence while the system is still in operation. Which of the following
procedures should the administrator perform FIRST on the system?
A. Make a drive image
B. Take hashes of system data
C. Collect information in RAM
D. Capture network traffic


Correct Answer: D

After receiving the hard drive from detectives, the forensic analyst for a court case used a log to capture corresponding events prior to sending the evidence to lawyers. Which of the
following do these actions demonstrate?
A. Chain of custody
B. Order if volatility
C. Data analysis
D. Tracking man hours and expenses


Correct Answer: A


A security manager is preparing the training portion of an incident plan. Which of the following job roles should receive training on forensics, chain of custody, and the order of
volatility?
A. System owners
B. Data custodians
C. First responders
D. Security guards


Correct Answer: C


  A forensics analyst is tasked identifying identical files on a hard drive. Due to the large number of files to be compared, the analyst must use an algorithm that is known to have the lowest collision rate. Which of the following should be selected?
A. MD5
B. RC4
C. SHA-128
D. AES-256


Correct Answer: C

Joe a computer forensic technician responds to an active compromise of a database server. Joe first collects information in memory, then collects network traffic and finally
conducts an image of the hard drive. Which of the following procedures did Joe follow?
A. Order of volatility
B. Chain of custody
C. Recovery procedure
D. Incident isolation


Correct Answer: A
 

 Which of the following best describes the initial processing phase used in mobile device
forensics?
A. The phone should be powered down and the battery removed to preserve the state of data on
any internal or removable storage utilized by the mobile device
B. The removable data storage cards should be processed first to prevent data alteration when
examining the mobile device
C. The mobile device should be examined first, then removable storage and lastly the phone without
removable storage should be examined again
D. The phone and storage cards should be examined as a complete unit after examining the
removable storage cards separately.


Answer: D


The __________Sleuthkit tools processes the full directory tree and finds the file name that points to a given inode number.
a. ffind
b fnfind
c. fsfind
d. ifind


 Answer: A

Following are forensic imaging tools?
a. dd
b. vdd
c. sdd
d. dcfldd 


 Answer: A,D

The Google drive file ??? contains a detailed list of a user's cloud transactions
a. loggedtransactions.log
b. sync_log.log
c. transact_user.db
d. history.db

 Answer: B

The tcpdump and Wireshark utilities both use what well known packet capture format
a. Netcap
b. Pcap
c. Packetd
d. RAW

 Answer: B

What Windows Registry key contains associations for file extensions
a. HKEY_CLASSES_ROOT
b. HKEY_USERS
c. HKEY_LOCAL_MACHINE
d. HKEY_CURRENT_CONFIG

 Answer: A

At what offset is a prefetch file's create date & time located
a. 0x88
b. 0x80
c. 0x98
d. 0x90

 Answer: B

In a prefetch file, the application's last access date and time are at offset ???
a. 0x80
b. 0x88
c. 0xD4
d. 0x90

 Answer:D

With cloud systems running in a virtual environment, ??? can give you valuable information before, during, and after an incident
a. carving
b. live acquisition
c. RAM
d. snapshot

 Answer:D

To reduce the time it takes to start applications, Microsoft has created ??? files, which contain the DLL pathnames and metadata used by application
a. temp
b. cache
c. config
d. prefetch

Answer:D

Metadata in a prefetch file contains an application's ??? times in UTC format and a counter of how many times the application has run since the prefect file was created
a. startup / access
b. log event
c. ACL
d. MAC

Answer:D

Which one of the following types of evidence is the most volatile ?
a. Network status and Connections
b. Swap Space
c. Memory
d. Processes running


Answer:C

During copying of evidence which is a important process, to a forensic drive, the forensic drive should be :
a. Erased, deleting all files on the drive
b. A new drive
c. Wiped clean
d. No preparation is needed


Answer:C

Backup copy contains exactly the same data as a bit-image copy. This statement is ____
a. True
b. False


Answer:B

Is it true that Pagefile.sys file on a computer can contain message fragments from instant messaging applications?
a. Yes
b. No


Answer:A

When will file’s hash value change?
a. Changing character
b. Changing filename
c. Changing file permission
d. Creating a symlink


Answer:A

_____ Windows Registry key contains file extensions associations.
a. HKEY_USERS
b. HKEY_CLASSES_ROOT.
c. HKEY_LOCAL_MACHINE
d. HKEY_CURRENT_CONFIG


Answer:B

The suspect evidence media be write-protected  ______
a.  To ensure that data is not altered
b. To ensure data  is available
c. To alter the data
d. None of them


Answer: A

Data for roaming phones is  stored in ____
a . HLR
b. GSM
c. BTS
d. VLR


Answer: d

To preserve digital evidence how many copies of a each evidence  should be created and maintained :
 a. At least two copies
b. One copy
c. No copies
d. None of the above


Answer: A

 Issue/s  with search & seizure procedure for cell  mobile devices is/are:
a. Power Loss
b. Cloud services synchronization
c. Remote wiping
d. All of the above
Answer: D

 _______ requires using a modified boot loader to access RAM for analysis?.
a. Chip-off
b. Manual extraction
c. Hex dumping
d. Micro read
Answer: C

_____ Sleuthkit tools can be used to display statistics of the file system.
a. fsfind
b fsstat
c. fstab
d. fstat
Answer: B

When shutting down a computer what information is typical lost?

a. Non-volatile information
b. Digital information
d. Static information

Answer: C

Which method of acquisition is always the most preferred?

a. Live
b. Static 
c. Logical
d. Illogical

Answer: B

How many disk-to-image copies should you make?

a. Never more than 1.
b. At least 2 
c. You should always use disk-to-disk rather than disk-to-image.
d. This is not a required step for digital forensics.

Answer: B

Ref:
CompTIA. Security+.TestInside.SY0-201.sec+.769q.vce SY0-401.examcollection.premium.exam.1752q
 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

 

Saturday, November 26, 2016

DIGITAL FORENSICS: Fake e-mail 

พยานหลักฐานอาชญากรรมทางคอมพิวเตอร์ ในรูปแบบ Fake e-mail โดย ณัฐ พยงค์ศรี

 





 




 

 









 


















 

พยานหลักฐานอาชญากรรมทางคอมพิวเตอร์ ในรูปแบบ Fake e-mail โดย ณัฐ พยงค์ศรี

ที่มา: 
DSi กรมสอบสวนคดีพิเศษ "การสัมมนาทางวิชาการวิเคราะห์รูปแบบกระทำความผิดและสร้างมาตรฐานการสืบสวนสอบสวนคดีพิเศษ"  8 กันยายน 2559

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น


* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป

ขอบคุณครับ


#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #พยานหลักฐานดิจิทัล

Saturday, November 19, 2016

วิธีการปฏิบัติต่อของกลางประเภทอุปกรณ์คอมพิวเตอร์ และอุปกรณ์อิเลคทรอนิกส์ เพื่อนำส่งตรวจพิสูจน์

วิธีการปฏิบัติต่อของกลางประเภทอุปกรณ์คอมพิวเตอร์ และอุปกรณ์อิเลคทรอนิกส์ เพื่อนำส่งตรวจพิสูจน์

คอมพิวเตอร์ส่วนบุคคล

            ถ่ายภาพให้ได้อุปกรณ์ของกลางครบทุกชิ้น และจดบันทึกแผนผังของการเชื่อมต่ออุปกรณ์ต่าง ๆ  และก่อนทำการถอดสายไฟหรือสายเชื่อมต่ออุปกรณ์ต่าง ๆ ออกจากตัวเครื่อง ควรติดฉลากหมายเลขอ้างอิงจุดที่ถอดสายออก คู่กับปลายสายที่ถูกถอดออกไว้ด้วย
            ตรวจสอบในช่อง DVD, CD, FLOPPY DISK , CARD READER หรือช่องต่อ USB ต่าง ๆ ว่ามีแผ่นซีดี THUMB DRIVE หรืออุปกรณ์ใด ๆ ค้างอยู่หรือไม่ และควรนำส่งไปพร้อมคอมพิวเตอร์ของกลางด้วย
            การนำส่งตรวจพิสูจน์ ควรใช้เทปคาดกั้นฝาปิดช่องต่ออุปกรณ์ต่าง ๆ เช่น ฝาปิดเครื่องช่องใส่ DVD หรือ USB พร้อมเซ็นชื่อกำกับ แล้วจึงบรรจุลงกล่องกระดาษหรือถุงกระดาษซึ่งมีวัสดุกันกระแทกให้เรียบร้อย

คอมพิวเตอร์โน้ตบุ๊ก

                 หากเครื่องคอมพิวเตอร์โน้ตบุ๊กอยู่ในสภาพ “ปิดทำงาน” ห้ามทำการเปิดเครื่อง หากเครื่องคอมพิวเตอร์โน้ตบุ๊กอยู่ในสภาพ “เปิดทำงาน” ให้ถ่ายภาพสิ่งที่ปรากฏบนหน้าจอ โปรแกรมที่ถูกย่ออยู่ที่ TASK BAR และเวลาที่มุมด้านล่างขวาของหน้าจอ หากโปรแกรมรักษาหน้าจอเปิดทำงานอยู่ (หน้าจอมืด) ให้เคลื่อนย้ายเมาส์หรือกดแป้นพิมพ์ SPACEBARS เพื่อให้ปรากฏภาพบนหน้าจอแล้วจึงถ่ายภาพ
              หากเครื่องคอมพิวเตอร์โน้ตบุ๊กอยู่ในสภาพ “ปิดทำงาน” ไม่ต้องถอดแบตเตอรี่ออกจากเครื่องคอมพิวเตอร์โน้ตบุ๊ก แต่ถ้าเครื่องอยู่ในสภาพ “เปิดทำงาน” ควรถอดปลั๊กของเครื่องออกจากด้านหลังของตัวเครื่อง และถ้าเป็นไปได้ควรถอดแบตเตอรี่ออกจากเครื่องด้วย โดยบรรจุเก็บแบตเตอรี่พร้อมทั้งสายที่ใช้ชาร์จไฟไว้ในถุงให้เรียบร้อย
              การนำส่งตรวจพิสูจน์ ควรใส่เครื่องคอมพิวเตอร์โน้ตบุ๊กของกลางในกระเป๋ากันกระแทก หากบรรจุกล่องอื่น ๆ ควรใส่สายชาร์จ หรืออุปกรณ์เสริมอื่น ๆ แยกจากกันเพื่อป้องกันการกดทับซึ่งอาจทำให้เกิดความเสียหายกับตัวเครื่องคอมพิวเตอร์โน้ตบุ๊กได้

ฮาร์ดดิสก์

              ฮาร์ดดิสก์มีทั้งแบบบรรจุกล่องหรือแบบเปลือย ควรถ่ายภาพภายนอกของอุปกรณ์ และหมายเลขเครื่อง (SN) จดบันทึกรายละเอียดต่าง ๆ เช่น ยี่ห้อ ความจุ และหมายเลขอื่น ๆ ที่ปรากฏ และหยิบจับอุปกรณ์ด้วยความระมัดระวังเนื่องจากเป็นอุปกรณ์ที่ได้รับความเสียหายได้ง่าย การนำส่งต้องบรรจุใส่กล่องกระดาษหรือห่อกระดาษแบบมีวัสดุกันกระแทก ก่อนปิดผนึกให้เรียบร้อยพร้อมทั้ง เซ็นชื่อกำกับ แล้วจึงนำส่งตรวจพิสูจน์

โทรศัพท์มือถือ

               หากโทรศัพท์มือถืออยู่ในสภาพ “ปิดทำงาน” ให้ปล่อยไว้ในสภาพ “ปิดทำงาน” ห้ามทำการเปิดเครื่อง หรือถอดแบตเตอรี่ เพื่อดูซิมการ์ดด้วยตัวเองโดยเด็ดขาด
               หากโทรศัพท์มือถืออยู่ในสภาพ “เปิดทำงาน” ถ่ายภาพที่ปรากฏบนหน้าจอรวมถึงวันที่เวลาของเครื่องและบรรจุไว้ในถุงกันคลื่นแม่เหล็กไฟฟ้า (ถ้ามี)
               ถ่ายภาพ และจดบันทึกรายละเอียดเช่น ยี่ห้อ รุ่น ก่อนบรรจุใส่กล่องหรือห่อกระดาษ แล้วปิดผนึกลงลายมือชื่อกำกับ แล้วนำส่งตรวจพิสูจน์ ถ้าเป็นไปได้ให้แยก ๑ เครื่องต่อ ๑ ห่อ หากมีส่งอุปกรณ์สายชาร์จแบตเตอรี่ หรือสายเชื่อมต่อข้อมูลให้นำส่งมาพร้อมด้วย
               โปรดทราบว่า หากท่านปล่อยโทรศัพท์ไว้ในสภาพ “เปิดทำงาน” ควรจัดส่งไปให้กองพิสูจน์หลักฐานกลางโดยเร็วที่สุด


แผ่นซีดี ดีวีดี/ บัตรอิเล็กทรอนิกส์

               ถ่ายภาพแผ่นด้านหน้า/หลังของบัตร และถ้าเป็นแผ่นซีดี หากของกลางมีมากกว่า ๑ รายการ ควรระบุลำดับหรือข้อความที่เขียนอยู่บนแผ่นเพื่อใช้อ้างอิงกับรายละเอียดในหนังสือนำส่ง ควรจะบรรจุในซองบรรจุแผ่นซีดีหรือซองกระดาษ เช่นเดียวกับบัตรอิเล็กทรอนิกส์ ปิดหีบห่อให้เรียบร้อยก่อนนำส่งตรวจพิสูจน์

อุปกรณ์ไฟฟ้า หรืออุปกรณ์อิเล็กทรอนิกส์ อื่น ๆ

               ถ่ายภาพ บรรจุกล่องกระดาษ/ซองกระดาษ แยกรายการให้ชัดเจน หากเป็นอุปกรณ์ขนาดเล็กให้ปิดผนึกด้วยซองกันกระแทกให้เรียบร้อย ลงลายมือชื่อกำกับ นำส่งตรวจพิสูจน์ในทุกกรณี ถ้าเป็นไปได้ควรมีวัสดุรองรับแรงกดทับหรือแรงกระแทกเพื่อหลีกเลี่ยงความเสียหาย และควรหลีกเลี่ยงความชื้นและแสงแดด

อาชญากรรมคอมพิวเตอร์ในระบบเครือข่าย หรือเครื่องแม่ข่าย (SERVER)

               ขอคำปรึกษาจาก เจ้าหน้าที่กองพิสูจน์หลักฐานกลางในการเข้าไปยังสถานที่เกิดเหตุ และแยกผู้ต้องสงสัยออกจากคอมพิวเตอร์ในทันที เนื่องจากผู้ต้องสงสัยอาจจะสามารถเข้าลบข้อมูลที่บันทึกอยู่ในคอมพิวเตอร์ของกลางโดยใช้คำสั่งส่งผ่านทางอุปกรณ์พกพาขนาดเล็ก เช่นโทรศัพท์มือถือได้อย่างรวดเร็ว
               กรณีเครื่องผู้ต้องสงสัยเป็นระบบเครือข่าย ห้าม ตัดไฟจากแหล่งจ่ายไฟ หรือกระทำการ อื่นใด เพราะการกระทำเช่นนั้นอาจทำให้ระบบได้รับความเสียหายสูญเสียข้อมูลสำคัญและทำให้เจ้าหน้าที่ตำรวจต้องรับผิดชอบต่อความเสียหาย

สื่อบันทึกข้อมูลดิจิตอลอื่น ๆ ที่ไม่ได้เชื่อมต่อกับเครื่องคอมพิวเตอร์

              สื่อบันทึกข้อมูลดิจิตอลอื่น ๆ เช่น แผ่นซีดี ดีวีดี FLOPPY DISK/THUMB DRIVE/SD CARD /MICRO SD สามารถนำส่งโดยบรรจุอยู่ในซองพลาสติกเดียวกัน หรือถุงเก็บวัตถุพยานรวมในใบเดียวกันได้ และควรมีวัสดุรองรับการกดทับหรือแรงกระแทกห่อหุ้มไว้ และควรติดฉลากระบุยี่ห้อ รุ่น ขนาด หรือจำนวนของกลางแต่ละรายการให้ชัดเจน
               หมายเหตุ ควรบันทึกรายละเอียดเกี่ยวกับของกลาง เช่น จำนวน ยี่ห้อ หรือรุ่น ให้ชัดเจนก่อนนำส่งตรวจพิสูจน์และควรมีลายมือผู้นำส่งเซ็นกำกับที่หีบห่อด้วยทุกครั้ง

การบรรจุหีบห่อ (Packaging)

              ผู้เก็บรวบรวมวัตถุพยานต้องเลือกชนิดของหีบห่อที่บรรจุให้เหมาะสม มีวิธีการปิดผนึกที่ถูกต้อง โดยต้องเขียนชื่อผู้ปิดผนึก วันที่ทำการปิดผนึกลงบนวัสดุที่ใช้ปิดผนึกให้เรียบร้อย มีการระบุรายละเอียดต่าง ๆ ของวัตถุพยานที่หีบห่อให้ครบถ้วนและชัดเจน เพื่อแสดงให้เห็นว่าลำดับการครอบครองวัตถุพยาน (Chain of Custody) ได้กระทำอย่างถูกต้องสามารถตรวจสอบได้

ลำดับการครอบครองวัตถุพยาน (Chain of Custody)

              วัตถุพยานที่พบในสถานที่เกิดเหตุ สามารถนำไปใช้ในการพิสูจน์ยืนยันการกระทำความผิดของผู้ต้องหาในชั้นศาลได้ ดังนั้นการดำเนินการเกี่ยวกับวัตถุพยานจึงจำเป็นต้องได้รับการการบันทึกอย่างเป็นระบบเพื่อให้ศาลมั่นใจว่าวัตถุพยานที่นำเสนอในศาลนั้น เป็นวัตถุพยานที่ตรวจเก็บได้จากสถานที่เกิดเหตุจริง ไม่มีการเปลี่ยนแปลงวัตถุพยานเพื่อใส่ร้ายหรือช่วยเหลือผู้ต้องหา รวมถึงต้องมีรายละเอียดกระบวนการจัดการวัตถุพยาน โดยต้องทราบว่าใคร ทำอะไรกับวัตถุพยานนั้นบ้าง ให้ศาลตรวจสอบได้อย่างไม่มีข้อสงสัย เช่น พบมีดในที่เกิดเหตุ จะต้องมีการบรรจุในภาชนะที่แข็งแรงปลอดภัย จะต้องมีการบันทึกว่าวัตถุพยาน “มีด” นั้น ตรวจเก็บได้จากสถานที่เกิดเหตุจนถึงการแปรค่า ลายนิ้วมือแฝง DNA นั้นเป็นมีดเล่มเดิมที่ผ่านขั้นตอนการตรวจเก็บ
             (ที่มา : คู่มือบริหารจัดการที่เกิดเหตุ พฐก.)

Saturday, November 12, 2016

Digital Forensics:Digital Forensics Certification Roadmap

Digital Forensics:Digital Forensics Certification Roadmap 

 

IT Certification Roadmap CompTIA

Digital Forensics Certification Roadmap

Security Certification Progress Chart 2020

EC-Council Career - Path

CHFI - Computer Hacking Forensic Investigator
Cyber Forensics
Cyber Forensics


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Thursday, November 3, 2016

Digital Forensics: CDFP – Certified Digital Forensic Professional

Digital Forensics: CDFP – Certified Digital Forensic Professional







 







This course takes a multi-disciplinary approach to the investigation of incidents in which computers or computer technology play a significant role. Participants completing this course will be familiar with the core computer science theory and practical skills necessary to perform first level digital forensic investigations, understand the role of technology in investigating computer-related crimes, and be prepared to deal with law enforcement, judiciary and the attorneys involved in investigating cyber-crimes.
This course has 15 modules. After completing the 15 modules students may opt to undertake practical training in digital forensics to obtain the Certified Digital Forensics Professionals (CDFP) credentials. Practical training is covered in Module 16, which requires compulsory full time training for one week.

GOALS
Upon the successful completion of this course, participants will be able to:
1. Identify pertinent electronic evidence in the context of violations of specific laws; those that deal with computer and related crimes, also referred to as cyber laws or technology crime laws.
2. Locate and recover relevant electronic evidence from different platforms and Operating Systems using a variety of tools.
3. Identify and articulate probable causes that may be necessary to obtain a warrant to search and seize electronic artifacts, and recognize the limits of such warrants
4. Recognize and maintain a chain of custody of electronic evidence.
5. Follow a documented forensics investigation process covering the end-to-end digital forensics life cycle.

LEARNING OUTCOMES
On successful completion of this unit, students will be able to:
1. Describe the role of digital forensics in criminal investigations, corporate investigation and auditing, and IT security operation;
2. Explain how data is stored on a local computer, remotely on the Internet and Cloud, and also the general structures of the LAN, WAN and the Internet;
3. Apply current industry best-practices to the analysis of digital evidence in hypothetical and real-case scenarios;
4. Undertake basic digital forensic investigation, from data acquisition and validation to evidence discovering, analyzing, validating, and presenting, by using a variety of digital forensics tools;
5. Acquire important generic skills – communication skills involved in report writing and presentation, inquiry, analysis and interpretation, problem solving, independent and group working, professionalism and social responsibility.

OVERVIEW
This course will benefit business enterprises in multiple verticals, not-for-profit organizations, individuals and government agencies intent on pursuing any corrective action, litigation or establishing proof of guilt based on digital evidence.
A case in point could be the termination of an employee for a violation that may involve a digital artifact to support the allegation. The investigator must furnish irrefutable burden of proof derived from the digital artifact. If not, a lawyer who is knowledgeable about computers and its forensics dimension would convince the court to dismiss the case. Similarly, Government or investigative agencies need to be able to successfully prosecute or defend cases such as acts of fraud, computer misuse, pornography or counterfeiting and so forth.

WHAT WILL BE COVERED IN THE TRAINING?
This program will be delivered through 15 learning modules at the first level. Those who complete all these modules successfully have the option of continuing with the sixteenth module that has nine hands-on lab exercises to be done during a two-week intense internship. During the internship, participants will be guided by expert digital forensic investigators who bring with them rich practical experience in digital forensic investigation

MODULE 1: LEGAL ASPECTS OF DIGITAL FORENSICS & GLOBAL APPROACH

• Digital Forensics Overview
Brief introduction to Forensic science
Major legal systems
• Taxonomy of cyber-crimes
• Global Initiatives against cyber-crimes
o Commonwealth Cybercrime Initiative (CCI)
o Interpol
o Federal Bureau of Investigation
o OECD
o Council of Europe – Convention on Cybercrimes
• Global Cyber Security Index (GCI)
• Understanding threats to Information Assets
• Challenges in investigating cyber-crimes

MODULE 2: COMPUTER HARDWARE

• Computer Hardware Components
• The Boot Process
• Hard Disk Partitioning
• File System Overview
• How is a file stored (Media Creation, Modified, Accessed)
• The effects of deleting and un-deleting files

MODULE 3: FILE SYSTEMS

• Concept of computer file systems
• FAT (File Allocation Table) Basics
• Physical Layout of FAT
• Viewing FAT Entries
• The Function of FAT
• NTFS (New Technology File System)
• Clusters and Sectors
• Alternate Data Streams
• Linux Files Systems
• Slack Space
• Resilient File Systems (RfS)

MODULE 4: DISKS AND STORAGE MEDIA

• ISO9660
• UDF – Universal Disk Format
• Media Devices:
o HDD
o Magnetic Tapes
o Floppy Disk
o Compact Discs, DVD and Blue Ray
o Ipods, Flash Memory Cards, etc.

MODULE 5: DIGITAL EVIDENCE – FOUNDATIONS

• What is Digital Evidence?
• Computer “Incidents”
• Evidence Types
• Search & Seizure
• Voluntary Surrender
• Subpoena
• Search Warrant
• Planning for and gathering digital evidence
• The Physical Location
• Personnel
• Computer Systems
• What Equipment to take
• Search Authority
• Handling Evidence at the scene
• Securing the Scene
• Taking Photographs
• Seizing Electronic Evidence
• Bagging and Tagging

MODULE 6: MANAGING DIGITAL EVIDENCE

• Chain of Custody
o Definition
o Controls
o Documentation
• Evidence Admissibility in a Court
• Relevance and Admissibility
• Best Practices for Admissibility
• Hearsay Rule, Exculpatory and Inculpatory Evidence

MODULE 7: BOOT PROCESS: WINDOWS, LINUX AND MACINTOSH

• The Boot Process
• System Startup
• The relevance of Boot process for digital forensic investigator
• Loading MS-DOS
• Loading Windows OS
• Loading Windows 2003 Server
• Loading Linux
• Loading Linux Server
• Loading Macintosh
• When to Pull the Plug or Shutdown?

MODULE 8: MOBILE DEVICES FORENSICS

• Mobile device forensics
• Mobile Operating Systems
• Data acquisition on mobile / hand held devices
• Investigative options available to crack password-protected file

MODULE 9: ACQUIRING, PROCESSING AND PRESENTATION OF DIGITAL EVIDENCE

• Using Live Forensics Boot CD’s
• Boot Disks
• Viewing the Invisible HPA and DCO data
• Drive-to-Drive DOS acquisition
• Forensics Image Files
• Data Compression
• Image File Forensics Tools
• Copy Right Issues – Graphic Files
• Network Evidence acquisition
• Why Network acquisition?
• Network Cables
• FastBloc
• LinEn
• Mounting a File System as Read Only

MODULE 10: FORENSIC INVESTIGATION THEORY

• Locard’s Exchange Principle
• Reconstructing the crime scene
• Classification
• Comparison
• Individualization
• Behavioral Evidence Analysis
• Equivocal Forensic Analysis
• Basics of Criminology
• Basics of Victimology
• Incident Scene Characteristics

MODULE 11: PROCESSING EVIDENCE

• Windows Registry
• System identifiers
• Sources of unique identification within OS
• Aspects of OS data files, to include Index.dat and other system files
• “Recycle” folder and deleted files.
• Image metadata

MODULE 12: PRESENTING EVIDENCE

• Documenting and Reporting Digital Evidence
• Review and analyze the methods used to document and report the results of a computer forensic examination.
• Program participants will present their finding and electronic discoveries in an exercise that demonstrates their abilities to create an effective presentation.
• The students will present their findings in “layman’s terms,” which is critical during any investigation, using the following fundamental approaches to evidence presentation:
o “Best evidence” concept
o “Hearsay” concept
o “Authenticity” and “Alteration of Computer Records” concepts
o “Layman’s analogies” available to the Computer Forensic practitioner
o Admissibility of digital evidence in a court of law

MODULE 13: FORENSIC MODELS, APPLIANCES AND PROTOCOLS

• Four Cardinal Rules
• Alpha 5
• Best Practices
• Software Licensing Types
• Free Software
• Industry Accepted Software
• Forensics Hardware Devices:
• Disk Duplicators
• Write Blockers

MODULE 14: CRYPTOGRAPHY, PASSWORD CRACKING AND STEGANOGRAPHY

• Basics of cryptology and cryptography
• Cryptography and cryptanalysis Processes
• Hash Types
• Pre-Computed Hash Tables
• Types of encryption concepts
• Investigative options available to crack password-protected files
MODULE 15: LAB PROTOCOLS
• Quality Assurance
• Standard Operating Procedures
• Peer Review
• Administrator Review
• Annual Review
• Deviations from the SOP
• Lab Intake and what you must receive
• Tracking Digital Evidence in the Lab
• Storage Requirements
• Proficiency Tests
• Code of Ethics
WHAT YOU RECEIVE
Certificate of Course Participation
PROFESSIONAL LEVEL

MODULE 16 – DIGITAL FORENSICS PRACTICALS

This level is 100% hands-on and mandatory for those the students that wish to upgrade to full professional accreditation in digital forensics, after successful completion of the first 15 modules. The students must spend 5 days on full time residential practical training secessions and the take an exam that has two components; viz.,
• 100 multiple choice questions exam and
• Interpretation of two scenarios that will be presented.

Lab Exercise -1
• Network Forensics
• Network Traffic analysis
• Understanding TCP/IP packets and their structure
• Detecting and tracing the route

Lab Exercise – 2
• Network Scanning
• TCP 3-way handshake process
• Dynamic Host Configuration Protocol
• DNS Structure and error code analysis
Lab Exercise – 3
• Abnormal / unusual network communication
• FTP and http: protocols analysis
• Reconstructing browsed images

Lab Exercise – 4
• Windows Forensics
• Win UFO – Ultimate Forensic Outflow
• OS Forensics

Lab Exercise – 5
• FTK Imager and FTK Toolkit
• Creating disk image using FTK Imager
• Creating and using hash lists
• EnCase Imager and using EnCase for forensic analysis

Lab Exercise – 6
• Hex Editor
• Hex Workshop
• Capturing Volatile RAM
• Memory Dump file analysis

Lab Exercise – 7
• SQLite Database viewer
• Data Carving
• Forensic Analysis of Skype
• Social Media digital evidence – acquisition and interpretation

Lab Exercise – 8
• Mobile Forensics
• E-mail forensics
• Windows registry analysis

Lab Exercise – 9: Presentation of Digital Evidence
Program participants are introduced to aspects of presenting digital evidence in a courtroom environment. They will be exposed to the tools necessary to effectively create and present the results of a cybercrime investigation to an administrative body or court of law. Both civil and criminal incidents are covered during the program. This is the final exercise where students will work, in small groups, on a case study that is a sanitized version of a real-life case. They will address and overcome the challenge of presenting their findings in a low-tech format where non-technical personnel can decipher and understand the results.

https://iicfip.org/cdfp-certified-digital-forensic-professional/
#Digital Forensics Certification

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics

#digitalforensics #investigation #cybercrime #fr