DIGITAL FORENSICS:Decoding Windows Registry Artifacts

ROT13   ("หมุน 13 ตำแหน่ง"  เป็นเทคนิคแทนที่ตัวอักษรอย่างง่ายที่แทนที่ตัวอักษรด้วยตัวอักษรตัวที่ 13 ตามหลังในอักษรละติน ROT13 ซึ่งพัฒนาขึ้นในยุคโรม  และต่อมาได้นำวิธีนี้มาใช้ในระบบคอมพิวเตอร์ด้วย

Caesar cipher เป็นเทคนิคการแทนที่ตัวอักษรที่ง่ายและแพร่หลายที่สุด โดยอักษรแต่ละตัวจะถูกแทนที่ด้วยตัวอักษรที่อยู่ลำดับถัดไป ตามจำนวนที่แน่นอน แล้วแต่จำนวน

ที่มา:https://en.wikipedia.org/wiki/ROT13

ROT เช่นตัวที่นิยมที่สุดในยุคนั้นคือ ROT13 ก็จะทำการ Shift ตัวอักษรไปอีก 13 ตัว เช่น  ROT13(“Julius Caesar”) = “Whyvhf Pnrfne”

Introduction to CyberChef

• Open this page:

https://gchq.github.io/CyberChef/

• On the top right, in the Input box, enter:  Digital Forensics Examiner

• Find the ROT13 operation and drag it to the Recipe pane.

The encrypted message appears in the lower right Output pane, beginning with Qvtvgny, as shown below.

Disable the ROT13 operation. Now the output is the same as the input, as shown below.

Registry: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

The key in the Registry. UserAssist shows the program that was executed in Windows with last execution (executable and links) time and path of executed program.

ในวินโดว์ รีจิสทรีจะติดตามข้อมูลที่ระบบปฏิบัติการ ตั้งค่าแอปพลิเคชันและข้อมูลเฉพาะของผู้ใช้ (User)   แต่กิจกรรมของพวกเขามักจะถูกบันทึกไว้เมื่อพวกเขาเรียกใช้โปรแกรมติดตั้งหรือแอพพลิเคชั่น กลุ่มรีจิสทรี HKEY_CURRENT_USER จะจัดเก็บการตั้งค่าเฉพาะสำหรับผู้ใช้ที่เข้าสู่ระบบในปัจจุบัน

    และใน Windows มีรายการรีจิสตรีจำนวนหนึ่งภายใต้ UserAssist ซึ่งช่วยให้ผู้ตรวจสอบสามารถดูว่าโปรแกรมใดบ้างที่ถูกเรียกใช้งานเมื่อเร็วๆ นี้บนระบบ สิ่งนี้มีประโยชน์อย่างยิ่งในการสืบสวนที่ผู้ตรวจสอบต้องการดูว่ามีการใช้งานแอปพลิเคชันใดอยู่หรือไม่ เช่น เครื่องมือการเข้ารหัสหรือการล้างข้อมูล  

     ข้อมูล UserAssist จะมีข้อมูลว่าแอปพลิเคชันถูกเรียกใช้จากทางลัด (ไฟล์ LNK) หรือจากไฟล์ปฏิบัติการโดยตรง  (executable) ซึ่งจะช่วยให้ผู้ตรวจสอบได้รับบริบทเพิ่มเติมเกี่ยวกับการทำงานของโปรแกรม

    มีการนำเทคนิค ROT13 ทำการ Encode   ข้อมูลไว้ภายใต้กลุ่ม  UserAssist  รีจิสทรีส่วนนี้ติดตามข้อมูลเกี่ยวกับแอปพลิเคชันที่ติดตั้งและทำงานบนเครื่อง และสามารถช่วยคุณค้นหาหลักฐานการมีอยู่และการทำงานของแอปพลิเคชันเหล่านั้น

อย่างไรก็ตาม สิ่งสำคัญคือต้องทราบว่าไม่ใช่ทุกแอปพลิเคชันที่ใช้ Windows Registry เพื่อจัดเก็บรายละเอียดการกำหนดค่าและการดำเนินการ แม้ว่าจะไม่พบบันทึกที่นั่น แต่ก็ไม่ได้หมายความว่าแอปพลิเคชันบางตัวไม่เคยเป็นส่วนหนึ่งของระบบ 

Extracting UserAssist information from the Windows registry

รีจิสทรีของ Windows เก็บข้อมูลกลุ่ม HKEY_CURRENT_USER ในไฟล์ NTUSER.DAT ที่อยู่ใน C:\Users\%useraccount% บัญชีผู้ใช้แต่ละบัญชีในระบบมี NTUSER.DAT ของตัวเอง ไฟล์นี้มีข้อมูลการกำหนดค่าผู้ใช้ ซึ่งจะอัปเดตตลอด 

วิธีที่รวดเร็วที่สุดในการรับข้อมูล UserAssist คือการวิเคราะห์โฟลเดอร์ C:\Users\%useraccount% โดยใช้เครื่องมือนิติวิทยาศาสตร์ดิจิทัล  เช่น Autopsy ,AccessData Registry Viewer ,Beklasoft,Magnet ,Registry  Recon ,CyberChef ,OSforensics Registry Viewer ,Registry Explorer

คุณสามารถแยกวิเคราะห์ NTUSER.DAT ได้ด้วยตนเอง อย่างไรก็ตาม มันเกี่ยวข้องกับการเจาะลึกโครงสร้างไฟล์และเทคนิคการเข้ารหัส เนื่องจากไฟล์เก็บข้อมูลในรูปแบบไบนารี และข้อมูล UserAssist ถูกทำให้สับสนด้วยการเข้ารหัส ROT13 นอกจากนี้ เมื่อต้องจัดการกับบันทึกที่อาจถูกลบ เครื่องมือทั่วไป เช่น Registry Editor อาจทำให้เราอ่านค่าเหล่านั้นได้ยาก

เครื่องมือ  Forensics Tools จะแยกวิเคราะห์ข้อมูลรีจิสทรี UserAssist และถอดรหัสข้อมูลที่เข้ารหัส ROT13 โดยให้ชื่อไฟล์และพาธแก่ผู้ตรวจสอบ จำนวนการเรียกใช้แอปพลิเคชัน ผู้ใช้ที่เกี่ยวข้อง และวันที่/เวลาที่โปรแกรมถูกเรียกใช้งานครั้งล่าสุด

Analyzing the UserAssist artifact

• Autopsy V.4.19

ชื่อและเส้นทางแอปพลิเคชันที่ดำเนินการ (ฟิลด์ชื่อ ค่าแสดงค่าดั้งเดิมที่เข้ารหัสใน ROT13) name and path (red highlights) 

• Registry  Recon V.2.4

• AccessData Registry Viewer V.1.8

• OSforensics Registry Viewer V.7.1

• Belkasoft X

• Registry Explorer V.2.0

• CyberChef    > Decode ROT13

เส้นทางการดำเนินการจริงบนเครื่อง เช่น "C:\Program Files\ExampleApp"

ชุดค่า  GUID/เส้นทาง โดยที่ GUID แสดงถึงโฟลเดอร์ระบบมาตรฐาน คุณสามารถค้นหาข้อมูลเกี่ยวกับวิธีการตีความ GUID เหล่านี้ได้ในบทความของ Microsoft "Known Folder GUIDs forFile Dialog Custom Places"

ตัวอย่าง

The UserAssist data is obfuscated with ROT13 encoding. 

System 1AC14E77-02E7-4E5D-B744-2EB1AE5198B7

1. Encode > {1NP14R77-02R7-4R5Q-O744-2RO1NR5198O7}\pzq.rkr     
2. Decode >{1AC14E77-02E7-4E5D-B744-2EB1AE5198B7}\cmd.exe   

     

อ่านเพื่มเติม: CyberChef

                    ROT13

อ้างอิง :

•             Decoding Windows Registry Artifacts
•             Simple Ciphers with CyberChef
•             Known Folder GUIDs for File Dialog Custom Places
•             Artifact Profile – UserAssist
•             Caesar cipher
•             UserAssist Forensics

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

รีวิวการสอบใบรับรอง Certified in Cybersecurity (CC)ของ (ISC)2 สมัครฟรี, เรียนฟรี, สอบฟรี

รีวิวการสอบใบรับรอง Certified in Cybersecurity (CC)ของ (ISC)2 สมัครฟรี, เรียนฟรี, สอบฟรี 

Registration

เนื่องจากช่วงที่ผมสอบนี้ (25-Dec 2023) ตัว Certified in Cybersecurity สามารถลงทะเบียน เรียนและสอบ ได้ฟรี 1 ล้านคน ดูได้ที่ https://www.isc2.org/1mcc

โดยมีขั้นตอนดังนี้

1. สมัครบัญชีกับ (ISC)2

2. สมัครและจองสอบกับ Pearson VUE https://home.pearsonvue.com/isc2

3. เลือกสอบ Certified in Cybersecurity + เลือกสถานที่สอบ + เวลาสอบ

4. เมื่อถึงหน้าจ่ายเงิน ให้ใส่ coupon ที่ได้รับมา | ใส่ Code  (Promotion valid until: 12/31/2023)

เนืื้อหา

จำนวนข้อสอบ 100 ข้อ ข้อสอบเป็นแบบ Choice    เวลา 2 ชม. ข้อสอบเป็นภาษาอังกฤษ

การเตรียมตัว

• เรียน (ISC)2 ก่อน ทำ Pre-test, Post-test ให้ผ่าน 70%
• เมื่อสมัครแล้ว ให้กดไปที่ Study for Exam เลือก Online Self-Paced

• Certified in Cybersecurity Practice Quiz

• อบรมเพิ่มเติม  โดยแบ่งอ่านตามความรู้ที่เราไม่ถนัด หรืิอไม่ชำนาญ ให้เริ่มอ่านก่อน

โครงการอบรมเชิงปฏิบัติการ Certified in Cybersecurity (CC)

โครงการนี้เหมือนให้ผมเข้าไปฝึกในห้องการเวลา จาก 1 เดือน ใช้เวลา แค่ 7 ชม. ทบทวนความรู้และสรุปได้เข้าใจง่าย

หลังจากอบรม หลักสูตร Certified in Cybersecurity (CC) แล้วแอดมินก็สอบ ในสัปดาห์ถัดไป 25 ธ.ค 2563 

ได้เมลเตือนให้ต่ออายุสมาชิก ก่อนจะโดนปิด account  (กดดัน)

We are writing to let you know that the end of your grace period to pay your ISC2 Candidate dues is 2023-12-31. 

หากไม่ได้รับการชำระเงินภายในวันที่ 31-12-2566 สถานะผู้สมัคร ISC2 ของคุณจะถูกยกเลิก คุณจะไม่สามารถอ้างสิทธิ์สถานะผู้สมัคร ISC2 ของคุณหรือเข้าถึงบัญชีและสิทธิประโยชน์ของผู้สมัคร ISC2 ของคุณได้อีกต่อไป ป้ายดิจิทัลของคุณจะถูกปิดใช้งาน และการเข้าถึงการฝึกอบรม CC ฟรีของคุณจะถูกปิดใช้งาน

วันสอบ ผมจองไว้ 9โมงเช้า ที่ ERT ชั้น3 ตึกชาญอิสระ2 (ขับรถไป ขอบัตรจอดรถที่ศูนย์สอบจอดฟรี 3ชั่วโมง   โดยผมไปถึงศูนย์สอบ 8.00  แต่ศูนย์เปิด 8.30 บอกเขาว่ามาสอบ CC และใช้บัตรประชาชนกับใบขับขี่ เพื่อทำการลงทะเบียน หลังจากนั้น เซ็นชื่อ สแกนมือ สแกนหน้า เก็บของในล็อคเกอร์ ก็จะได้เริ่มสอบตอน 9โมงพอดี

สุดท้ายเมื่อสอบเสร็จ เรากด Submit   แล้วก็เดินออกจากห้องสอบ 

พอออกมาเจ้าหน้าที่ปริ้นท์ผลสอบให้เลยว่าผ่าน  หลังจากสอบเสร็จ แล้วก็ขอบคุณ เจ้าหน้าที่สอบก่อนจะเดินออกไป

เมื่อสอบผ่านแล้ว เราจะต้องเข้าไป Activate ด้วยนะครับ เขาเรียกว่า การรับรอง (Endorsement) โดยให้เราล็อกอินใน (ISC)2 แล้วเข้าลิงก์นี้ https://apps.isc2.org/Endorsement/#/Home กดเลือก New Endorsement Application โดยหลังสอบประมาณ1–3วัน  จะรอทาง ISC2 ตรวจสอบและยืนยัน Cert 

Endorsement Applications Being Processed

เมื่อสอบผ่านจะได้รับเมล 1-2 วันหลังสอบผ่านจาก isc2.org   

หากต้องการให้ Cert อยู่กับเรา  ต้องสมัครสมาชิก โดยมีค่าสมัครอยู่ที่ 50 ดอลลาร์ หรือประมาณ 1,700 บาทครับ 

หลังจากทำตามขั้นตอนของ (ISC)2   ก็สามารถไป Claim Badge ใน Credly ได้

จะต้องเก็บเครดิตให้ได้ 45 เครดิตในช่วง 3  ปี เราจึงจะขอคงสภาพ CC ไว้ได้ ซึ่งเครดิตพวกนี้ก็ได้มาหลากหลาย ทั้งการทำงานให้สถาบันรับรอง หรือเข้าร่วมสัมนาออนไลน์ของ (ISC)2 ก็ได้ครับ

Conclusion

                 คนที่มีประสบการณ์การทำงานในสาย Cybersecurity ในระดับหนึ่ง อาจจะดูเนื้อหาคร่าวๆ อ่านเพิ่มแค่บางจุดในDomainที่ตัวเราไม่รู้ ก็สามารถไปสอบได้เลย  ใช้เวลาข้อละ ไม่เกิน 1 นาที เดี๋ยวทำข้อสอบไม่ทัน  แล้วไม่สามารถข้ามข้อสอบได้    (ข้อสอบไม่สามารถย้อนไปทบทวนได้ ตอบแล้วตอบเลย)

โดยปัจจุบันผมทำงานเป็น  IT  &  Network ,Forensics ก็จะมีเนื้อหาบางส่วนที่เรารู้จากการทำงาน   เลยไม่ได้ลงเรียนคอร์สของCC (ISC)² แต่ใช้เวลาReviewเนื้อหาคร่าวๆ1วันในห้องกาลเวลาเพื่อทวน แล้วไปสอบเลย (ขิง)

Certified in Cybersecurity℠ (CC) ถือเป็น ใบเซอร์ตัวหนึ่งที่น่าสนใจ สำหรับผู้เริ่มต้น เนื่องจาก (ISC)² มีชื่อเสียง จากใบเซอร์ เช่น CISSP , แต่ว่าใบเซอร์ที่ยกตัวอย่างมา ส่วนใหญ่จะมีเนื้อหาที่ยากเหมาะสำหรับคนที่ทำงานในสายงานนั้นๆมาแต่ตัว CC เป็นใบเซอร์ที่เหมาะสำหรับอย่างยิ่งสำหรับผู้ที่ต้องการเริ่มต้นมาทำงานในสาย Cybersecurity ลองสอบ เพราะไม่ต้องใช้ประสบการณ์ในการทำงานมากนัก

Example

• What is the code of ethics for ISC2?

• Segregation of Duties

• Physical control
  
  Get an Edge on Your ISC2 Domain  Prabh Nair
• Domain 4: Network Security
  ต้องรู้ว่า OSI layer แต่ละอันอยู่ Layer เท่าไร, ประเภทภัยคุกคาม, Firewall มีไรบ้าง, Port ต่างๆที่ใช้บ่อยๆ ม่ีหลายข้อ
• Domain 5: Security Operations    Encryption, Hashing, Hardening (3 อันนี้ถามวนไปวนมาหลายข้อเหมือนกัน), ประเภทของ Policy เช่น AUP คือไร เจอบ่อยมากตอนสอบ
  
  
  
• Hot site ,Warm Site ,Cold Site 
  
  
  
• ต้องรู้คำศัพท์เฉพาะด้านไอทีให้ได้ เช่น phishing, frame, packet, IDS/IPS  เจอแน่ๆ
• ฝึกทำโจทย์เยอะๆ จะได้รู้ว่าตัวเองอ่อน domain ไหน

อ้างอิง:

• โครงการอบรมเชิงปฏิบัติการ “Certified in Cybersecurity (CC)”
•   https://www.linkedin.com/learning/isc-2-certified-in-cybersecurity-cc-cert-prep
• https://github.com/so87/CISSP-Study-Guide
• https://github.com/cyberfascinate/ISC2-CC-Study-Material/tree/main/Important%20PDFs
• https://github.com/cyberfascinate/ISC2-CC-Study-Material/tree/main/Notes
• https://github.com/cyberfascinate/ISC2-CC-Study-Material/blob/main/Flash%20Card.md
• https://github.com/cyberfascinate/ISC2-CC-Study-Material/blob/main/Quiz.md
  

• https://www.reddit.com/r/isc2/comments/13wd3ct/passed_my_isc2_cc_exam_resources_tips/

สอบผ่าน Certified in Cybersecurity (CC)ของ (ISC)2

What does CC certification get you?

Certified in Cybersecurity (CC) entry-level certification from ISC2 starts you on a clear path to a rewarding career. The benefits are many. Here are just a few:

•     Respect - Validate your knowledge and build credibility.  
•     Job offers and advancement - Gain the solid foundation of cybersecurity knowledge employers are looking for, from an association they trust. 
•     Growth and learning - Develop new skills you can apply in day-to-day work.  
•     Pathway to cybersecurity careers and advanced certifications - Build a strong foundation for an infosec career and become familiar with exam formats for advanced ISC2 certifications like CISSP®.
•     Community of professionals - Access a network of peers and CPE/learning opportunities. 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

eCDFP exam Review by  Digital Forensics Examiner

ดังคำที่ว่า "หลักฐานอยู่ที่ไหน หลักฐานก็อยู่ที่นั้น"

สวัสดีทุกคน วันนี้แอด จะรีวิว สอบ Digital Forensics ของ elearnsecurity ปัจจุบัน เป็นของค่าย INE  Securityและการสอบโดยรวม ขอเล่าก่อนว่าแอด ศึกษามานานจนตั้งแต่ค่ายเก่า จนมาอยู่ค่ายใหม่ถึงมาสอบ เนื่องจากไม่มีเวลาเตรียมตัว 

Cert eCDFP ของ INE Security เป็นการสอบเพื่อรับใบรับรองนี้ครอบคลุมถึงการเก็บรักษาหลักฐาน ความรู้พื้นฐานด้านนิติวิทยาศาสตร์ดิจิทัล ความรู้พื้นฐานเกี่ยวกับอุปกรณ์จัดเก็บข้อมูล และเครื่องมือและเทคนิคด้านนิติวิทยาศาสตร์ดิจิทัล

การสอบนี้ออกแบบมาเพือ Blue  Team สำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ โดยจำลองทักษะที่ใช้ระหว่างการมีส่วนร่วมในโลกแห่งความเป็นจริง การสอบนี้แสดงให้เห็นอย่างแท้จริงว่าผู้สมัครมีคุณสมบัติเพียงพอที่จะเป็นส่วนหนึ่งของทีมสืบสวนทางนิติดิจิทัล

ส่วนตัวผมชอบ Logo eLearnSecurity 

เนื้อหาสำหรับการสอบ

• Preservation of Evidence (20%)
• Fundamentals of Digital Forensics (33%)
• Storage Device Fundamentals (20%)
• Digital Forensics Tools & Techniques (27%)

eCDFP Learning path

• เรียนรู้วิธีการจัดเก็บหลักฐาน ชนิด volatile data  และ non-volatile data โดยใช้เทคนิคต่างๆ
• เจาะลึกโครงสร้างของไฟล์ จากนั้นวิเคราะห์ file headers, malicious documents  และ file metadata
• ทำความคุ้นเคยกับการเดินผ่านพาร์ติชั่น การกู้คืนดิสก์ที่เสียหาย และการค้นหาข้อมูลที่ซ่อนอยู่ ใช้เครื่องมือWinHex 
• File & disk analysis เรียนรู้วิธีการวิเคราะห์ทั้งระบบไฟล์ FAT และ NTFS 
• เรียนรู้เทคนิค file carving และ carving signatures
• Windows forensics เรียนรู้วิธีวิเคราะห์รีจิสทรีของ Windows, ไฟล์ LNK, prefetch files และ USB Forensics ที่ติดตั้งไว้ก่อนหน้านี้
• เรียนรู้วิธีดำเนินการตรวจสอบอย่างละเอียดต่อ Skype, Shellbags ของ Explorer และWindows recycle bin
• Network forensics & Analyzing traffic capture files  มีความเชี่ยวชาญในการสืบสวนการโจมตีเครือข่ายทางนิติวิทยาศาสตร์
• Log analysis & Timeline analysis สืบหาข้อมูลหลักฐาน  ข้อมูล Log 

สำหรับเนื้อหาในหลักสูตร + LAB

course เรียนของ eLearnSecurity ที่ platform https://ine.com/ ซึ่งในนั้นจะมี course cybersecurity และ อื่น ๆ อีกหลาย courses ให้เรียน

พยายามทำ LAB 

Cert ตัวนี้เหมาะกับใคร

eCDFP เป็นใบรับรองสำหรับบุคคลที่มีความเข้าใจด้านเทคนิคในระดับสูงเกี่ยวกับ Networks , System และการโจมตีทางไซเบอร์ ใครๆ ก็สามารถลองทำข้อสอบเพื่อรับใบรับรองได้ อย่างไรก็ตาม ขอแนะนำให้มีทักษะการเรียนรู้ด้านนิติวิทยาศาสตร์ดิจิทัล (เหมาะกับใครก็ได้ที่สอบผ่าน)

ขั้นตอนเตรียมตัว

ศึกษาทฤษฎี หาข้อมูลตาม เนื่้อหาเพื่อเตรียมสอบดังนี้

1. หลักการสำคัญคือ ซื้อ Voucher ก่อนแล้วค่อยเตรียมตัวสอบ  แน่นอน ให้ทุกคนรอปลายเดือน พฤศจิกายน จะมี BLACK FRIDAY ลด 50%    eCDFP Exam เหลือ $200  เหล่านักช๊อปเตรียมบัตรเครดิตให้พร้อมไว้   

2. สำคัญมาก เมื่อใกล้เวลาวันหมดอายุ Voucher  ประมาณ 180 วัน  นับจากวันซื้อ เมื่อเหลือเวลาอีก 2 เดือนจะหมดอายุ  เวลาจวนตัวแล้ว เราก็เริ่มสอบได้   (เนื่องจากเราสามารถสอบได้ 2 ครั้ง ถ้าไม่ผ่าน ก็มีเวลาเหลืออีก 1 เดือนเพื่อเตรียมตัวสอบอีกครั้ง) the certification exam will be in your account and available to attempt for 180 days.

3. สอบผ่านหน้า web browser  ดีกว่าระบบเก่ามาก  ไม่ต้อง VPN ไปสอบเหมือนระบบเก่า  การสอบผ่าน web browser  ค่อนข้างเสถียร ไม่ติดปัญหาอะไร  หากมีปัญหาก็แค่ reload ใหม่ได้ (ปัญหา VPN  จะหมดไปเมื่อคุณสอบบนระบบใหม่ เห็นใจคนที่เคยสอบระบบเก่าของ eLearnSecurity  ครับ)

Review Exam

คราวนี้มารีวิวตัวข้อสอบกันบ้าง การสอบประกอบด้วย ทฤษฎีและปฏิบัติ    โดยมีคำถาม 30 ข้อที่ต้องตอบ คำถามเชิงทฤษฎี 15 ข้อ และเชิงปฏิบัติ 15 ข้อ โดยคุณจะมีเครื่องสองเครื่องพร้อมเครื่องมือทางนิติวิทยาศาสตร์ เครื่อง Windows หนึ่งเครื่อง และ Linux อีกเครื่อง และมีเวลา 24 ชั่วโมง ไม่ต้องทำ report    สอบผ่านเกนฑ์ 76% 

การสอบภาคทฤษฎีนั้นหากคุณได้ลงหลักสูตรอบรมก็สามารถอ่านเนื้อหาจากในหลักสูตร eCDFP หรือใช้ความรู้ที่คุณศึกษามา   อย่างไรก็ตาม ส่วนที่ใช้งานได้จริงนั้นขึ้นอยู่กับข้อสอบเชิงปฏิบัติ เนื่องจากคุณต้องศึกษาและใช้เครื่องมือทางนิติวิทยาศาสตร์ได้ จึงจะสามารถทำข้อสอบเชิงปฏิบัติได้

คุณจะได้รับโจทย์ให้หาคำตอบจาก Image file เช่น AD01, L01  .001  และ .pcap   บนเครื่อง  Windows หนึ่งเครื่อง และ Linux  โดยใช้เครื่องมือทางนิติวิทยาศาสตร์  เช่น FTK Imager, PhotoRec Wireshark  และเครื่องมืออื่นๆ บนเครื่องที่ใช้สอบ เราไม่สามารถติดตั้งโปรแกรมหรือdownload โปรแกรมใดๆเพิ่มได้ อย่างไรก็ตาม คุณควรฝึกการใช้งานเครื่องมือเหล่านี้บนระบบ Windows และบน Linux  เพื่อ ความชำนาญ 

• ศึกษาการวิเคราะห์ดิสก์และเทคนิคการกู้คืนไฟล์ (partitions and disks ,disk analysis and file recovery techniques)
• ศึกษาเกี่ยวกับ Jumplist และกระบวนการแยกเพื่อคัดแยกเหตุการณ์
• รู้โครงสร้างโฟลเดอร์ Windows  ,Windows Registry 
• ศึกษาการใช้ Wireshark  
• เรียนรู้วิธีวิเคราะห์รูปแบบต่างๆ โดยใช้ตัววิเคราะห์ดิสก์ เช่น WinHex
• เรียนรู้แนวคิดทางทางนิติวิทยาศาสตร์ดิจิทัล
• เรียนรู้เกี่ยวกับโครงสร้างของพาร์ติชันและดิสก์

เมื่อสอบเสร็จจะมี  Exam result  % บอกว่่าคุณทำคะแนน Domain ได้ดี และส่วนไหนที่คุณพลาด เพืือจะได้กลับไปทบทวน  

• Preservation of Evidence (Your score %)
• Fundamentals of Digital Forensics (Your score %)
• Storage Device Fundamentals (Your score )
• Digital Forensics Tools & Techniques (Your score %)

ใครไม่เชื่อที่แอดเขียน ก็ทำตามนี้ได้ครับ

You passed the eCDFP exam:ของแท้

อ่านเพิ่มเตืิม:

• eLearnSecurity Certified Digital Forensics
• Windows Recycle Bin analyzer
• Analyzing Recycle Bin
• INE Lab 3 สอบ (ECDFP)
• INE Lab 15 สอบ (ECDFP)
• eCDFP รีวิว
• Cyberdefenders
• 13Cubed
• Cyber5W

สรุป

Cert นี้เหมาะกับผู้ที่ต้องการสอบ Digital Forensics Cert แบบปฎิบัติจริง ใช้เครื่องมือทางนิติวิทยาศาสตร์ดิจิทัลจริง คุ้มค่าแก่การสอบ เนื่องจากช่วยเสริม  และเตรียมการสอบ CERT  อื่นๆ  อย่างไรก็ตาม หากคุณลงเรียนหลักสูตรนี้ คุณจะได้เรียนรู้สิ่งดีๆ และมีประโยชน์มากมาย อย่างไรก็ตาม หากคุณสอบผ่านโดยไม่ได้ลงคอร์สอบรมและมีประสบการณ์ด้่านนิติวิทยาศาสตร์ดิจิทัลด้วย ถืิอว่่าคุณทำได้ดีมาก และที่สำคัญ Cert ตัวนี้ ( Does not expire ) 

คุณจะไม่พบเนื่้อหาที่เกี่ยวกับ Mobile forensics, Cloud forensicsและ Memory forensics ในหลักสูตรนี้

สุดท้ายนี้ "ขอพลังจงสถิตอยู่กับท่านเหล่า Digital Forensics Examiner ทั้งหลาย"

Reference : ine.com

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD