eCDFP exam Review by  Digital Forensics Examiner

ดังคำที่ว่า "หลักฐานอยู่ที่ไหน หลักฐานก็อยู่ที่นั้น"

สวัสดีทุกคน วันนี้แอด จะรีวิว สอบ Digital Forensics ของ elearnsecurity ปัจจุบัน เป็นของค่าย INE  Securityและการสอบโดยรวม ขอเล่าก่อนว่าแอด ศึกษามานานจนตั้งแต่ค่ายเก่า จนมาอยู่ค่ายใหม่ถึงมาสอบ เนื่องจากไม่มีเวลาเตรียมตัว 

Cert eCDFP ของ INE Security เป็นการสอบเพื่อรับใบรับรองนี้ครอบคลุมถึงการเก็บรักษาหลักฐาน ความรู้พื้นฐานด้านนิติวิทยาศาสตร์ดิจิทัล ความรู้พื้นฐานเกี่ยวกับอุปกรณ์จัดเก็บข้อมูล และเครื่องมือและเทคนิคด้านนิติวิทยาศาสตร์ดิจิทัล

การสอบนี้ออกแบบมาเพือ Blue  Team สำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ โดยจำลองทักษะที่ใช้ระหว่างการมีส่วนร่วมในโลกแห่งความเป็นจริง การสอบนี้แสดงให้เห็นอย่างแท้จริงว่าผู้สมัครมีคุณสมบัติเพียงพอที่จะเป็นส่วนหนึ่งของทีมสืบสวนทางนิติดิจิทัล

ส่วนตัวผมชอบ Logo eLearnSecurity 

เนื้อหาสำหรับการสอบ

• Preservation of Evidence (20%)
• Fundamentals of Digital Forensics (33%)
• Storage Device Fundamentals (20%)
• Digital Forensics Tools & Techniques (27%)

eCDFP Learning path

• เรียนรู้วิธีการจัดเก็บหลักฐาน ชนิด volatile data  และ non-volatile data โดยใช้เทคนิคต่างๆ
• เจาะลึกโครงสร้างของไฟล์ จากนั้นวิเคราะห์ file headers, malicious documents  และ file metadata
• ทำความคุ้นเคยกับการเดินผ่านพาร์ติชั่น การกู้คืนดิสก์ที่เสียหาย และการค้นหาข้อมูลที่ซ่อนอยู่ ใช้เครื่องมือWinHex 
• File & disk analysis เรียนรู้วิธีการวิเคราะห์ทั้งระบบไฟล์ FAT และ NTFS 
• เรียนรู้เทคนิค file carving และ carving signatures
• Windows forensics เรียนรู้วิธีวิเคราะห์รีจิสทรีของ Windows, ไฟล์ LNK, prefetch files และ USB Forensics ที่ติดตั้งไว้ก่อนหน้านี้
• เรียนรู้วิธีดำเนินการตรวจสอบอย่างละเอียดต่อ Skype, Shellbags ของ Explorer และWindows recycle bin
• Network forensics & Analyzing traffic capture files  มีความเชี่ยวชาญในการสืบสวนการโจมตีเครือข่ายทางนิติวิทยาศาสตร์
• Log analysis & Timeline analysis สืบหาข้อมูลหลักฐาน  ข้อมูล Log 

สำหรับเนื้อหาในหลักสูตร + LAB

course เรียนของ eLearnSecurity ที่ platform https://ine.com/ ซึ่งในนั้นจะมี course cybersecurity และ อื่น ๆ อีกหลาย courses ให้เรียน

พยายามทำ LAB 

Cert ตัวนี้เหมาะกับใคร

eCDFP เป็นใบรับรองสำหรับบุคคลที่มีความเข้าใจด้านเทคนิคในระดับสูงเกี่ยวกับ Networks , System และการโจมตีทางไซเบอร์ ใครๆ ก็สามารถลองทำข้อสอบเพื่อรับใบรับรองได้ อย่างไรก็ตาม ขอแนะนำให้มีทักษะการเรียนรู้ด้านนิติวิทยาศาสตร์ดิจิทัล (เหมาะกับใครก็ได้ที่สอบผ่าน)

ขั้นตอนเตรียมตัว

ศึกษาทฤษฎี หาข้อมูลตาม เนื่้อหาเพื่อเตรียมสอบดังนี้

1. หลักการสำคัญคือ ซื้อ Voucher ก่อนแล้วค่อยเตรียมตัวสอบ  แน่นอน ให้ทุกคนรอปลายเดือน พฤศจิกายน จะมี BLACK FRIDAY ลด 50%    eCDFP Exam เหลือ $200  เหล่านักช๊อปเตรียมบัตรเครดิตให้พร้อมไว้   

2. สำคัญมาก เมื่อใกล้เวลาวันหมดอายุ Voucher  ประมาณ 180 วัน  นับจากวันซื้อ เมื่อเหลือเวลาอีก 2 เดือนจะหมดอายุ  เวลาจวนตัวแล้ว เราก็เริ่มสอบได้   (เนื่องจากเราสามารถสอบได้ 2 ครั้ง ถ้าไม่ผ่าน ก็มีเวลาเหลืออีก 1 เดือนเพื่อเตรียมตัวสอบอีกครั้ง) the certification exam will be in your account and available to attempt for 180 days.

3. สอบผ่านหน้า web browser  ดีกว่าระบบเก่ามาก  ไม่ต้อง VPN ไปสอบเหมือนระบบเก่า  การสอบผ่าน web browser  ค่อนข้างเสถียร ไม่ติดปัญหาอะไร  หากมีปัญหาก็แค่ reload ใหม่ได้ (ปัญหา VPN  จะหมดไปเมื่อคุณสอบบนระบบใหม่ เห็นใจคนที่เคยสอบระบบเก่าของ eLearnSecurity  ครับ)

Review Exam

คราวนี้มารีวิวตัวข้อสอบกันบ้าง การสอบประกอบด้วย ทฤษฎีและปฏิบัติ    โดยมีคำถาม 30 ข้อที่ต้องตอบ คำถามเชิงทฤษฎี 15 ข้อ และเชิงปฏิบัติ 15 ข้อ โดยคุณจะมีเครื่องสองเครื่องพร้อมเครื่องมือทางนิติวิทยาศาสตร์ เครื่อง Windows หนึ่งเครื่อง และ Linux อีกเครื่อง และมีเวลา 24 ชั่วโมง ไม่ต้องทำ report    สอบผ่านเกนฑ์ 76% 

การสอบภาคทฤษฎีนั้นหากคุณได้ลงหลักสูตรอบรมก็สามารถอ่านเนื้อหาจากในหลักสูตร eCDFP หรือใช้ความรู้ที่คุณศึกษามา   อย่างไรก็ตาม ส่วนที่ใช้งานได้จริงนั้นขึ้นอยู่กับข้อสอบเชิงปฏิบัติ เนื่องจากคุณต้องศึกษาและใช้เครื่องมือทางนิติวิทยาศาสตร์ได้ จึงจะสามารถทำข้อสอบเชิงปฏิบัติได้

คุณจะได้รับโจทย์ให้หาคำตอบจาก Image file เช่น AD01, L01  .001  และ .pcap   บนเครื่อง  Windows หนึ่งเครื่อง และ Linux  โดยใช้เครื่องมือทางนิติวิทยาศาสตร์  เช่น FTK Imager, PhotoRec Wireshark  และเครื่องมืออื่นๆ บนเครื่องที่ใช้สอบ เราไม่สามารถติดตั้งโปรแกรมหรือdownload โปรแกรมใดๆเพิ่มได้ อย่างไรก็ตาม คุณควรฝึกการใช้งานเครื่องมือเหล่านี้บนระบบ Windows และบน Linux  เพื่อ ความชำนาญ 

• ศึกษาการวิเคราะห์ดิสก์และเทคนิคการกู้คืนไฟล์ (partitions and disks ,disk analysis and file recovery techniques)
• ศึกษาเกี่ยวกับ Jumplist และกระบวนการแยกเพื่อคัดแยกเหตุการณ์
• รู้โครงสร้างโฟลเดอร์ Windows  ,Windows Registry 
• ศึกษาการใช้ Wireshark  
• เรียนรู้วิธีวิเคราะห์รูปแบบต่างๆ โดยใช้ตัววิเคราะห์ดิสก์ เช่น WinHex
• เรียนรู้แนวคิดทางทางนิติวิทยาศาสตร์ดิจิทัล
• เรียนรู้เกี่ยวกับโครงสร้างของพาร์ติชันและดิสก์

เมื่อสอบเสร็จจะมี  Exam result  % บอกว่่าคุณทำคะแนน Domain ได้ดี และส่วนไหนที่คุณพลาด เพืือจะได้กลับไปทบทวน  

• Preservation of Evidence (Your score %)
• Fundamentals of Digital Forensics (Your score %)
• Storage Device Fundamentals (Your score )
• Digital Forensics Tools & Techniques (Your score %)

ใครไม่เชื่อที่แอดเขียน ก็ทำตามนี้ได้ครับ

You passed the eCDFP exam:ของแท้

อ่านเพิ่มเตืิม:

• eLearnSecurity Certified Digital Forensics
• Windows Recycle Bin analyzer
• Analyzing Recycle Bin
• INE Lab 3 สอบ (ECDFP)
• INE Lab 15 สอบ (ECDFP)
• eCDFP รีวิว
• Cyberdefenders
• 13Cubed
• Cyber5W

สรุป

Cert นี้เหมาะกับผู้ที่ต้องการสอบ Digital Forensics Cert แบบปฎิบัติจริง ใช้เครื่องมือทางนิติวิทยาศาสตร์ดิจิทัลจริง คุ้มค่าแก่การสอบ เนื่องจากช่วยเสริม  และเตรียมการสอบ CERT  อื่นๆ  อย่างไรก็ตาม หากคุณลงเรียนหลักสูตรนี้ คุณจะได้เรียนรู้สิ่งดีๆ และมีประโยชน์มากมาย อย่างไรก็ตาม หากคุณสอบผ่านโดยไม่ได้ลงคอร์สอบรมและมีประสบการณ์ด้่านนิติวิทยาศาสตร์ดิจิทัลด้วย ถืิอว่่าคุณทำได้ดีมาก และที่สำคัญ Cert ตัวนี้ ( Does not expire ) 

คุณจะไม่พบเนื่้อหาที่เกี่ยวกับ Mobile forensics, Cloud forensicsและ Memory forensics ในหลักสูตรนี้

สุดท้ายนี้ "ขอพลังจงสถิตอยู่กับท่านเหล่า Digital Forensics Examiner ทั้งหลาย"

Reference : ine.com

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD