Tuesday, December 26, 2023

DIGITAL FORENSICS:Decoding Windows Registry Artifacts

DIGITAL FORENSICS:Decoding Windows Registry Artifacts

ROT13   ("หมุน 13 ตำแหน่ง"  เป็นเทคนิคแทนที่ตัวอักษรอย่างง่ายที่แทนที่ตัวอักษรด้วยตัวอักษรตัวที่ 13 ตามหลังในอักษรละติน ROT13 ซึ่งพัฒนาขึ้นในยุคโรม  และต่อมาได้นำวิธีนี้มาใช้ในระบบคอมพิวเตอร์ด้วย

Caesar cipher เป็นเทคนิคการแทนที่ตัวอักษรที่ง่ายและแพร่หลายที่สุด โดยอักษรแต่ละตัวจะถูกแทนที่ด้วยตัวอักษรที่อยู่ลำดับถัดไป ตามจำนวนที่แน่นอน แล้วแต่จำนวน

Decoding Windows Registry Artifacts

ROT เช่นตัวที่นิยมที่สุดในยุคนั้นคือ ROT13 ก็จะทำการ Shift ตัวอักษรไปอีก 13 ตัว เช่น  ROT13(“Julius Caesar”) = “Whyvhf Pnrfne”


Introduction to CyberChef

  • Open this page:

https://gchq.github.io/CyberChef/


  • On the top right, in the Input box, enter:  Digital Forensics Examiner


  • Find the ROT13 operation and drag it to the Recipe pane.


The encrypted message appears in the lower right Output pane, beginning with Qvtvgny, as shown below.

Decoding Windows Registry Artifacts


Disable the ROT13 operation. Now the output is the same as the input, as shown below.

Decoding Windows Registry Artifacts


Registry: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

The key in the Registry. UserAssist shows the program that was executed in Windows with last execution (executable and links) time and path of executed program.

ในวินโดว์ รีจิสทรีจะติดตามข้อมูลที่ระบบปฏิบัติการ ตั้งค่าแอปพลิเคชันและข้อมูลเฉพาะของผู้ใช้ (User)   แต่กิจกรรมของพวกเขามักจะถูกบันทึกไว้เมื่อพวกเขาเรียกใช้โปรแกรมติดตั้งหรือแอพพลิเคชั่น กลุ่มรีจิสทรี HKEY_CURRENT_USER จะจัดเก็บการตั้งค่าเฉพาะสำหรับผู้ใช้ที่เข้าสู่ระบบในปัจจุบัน

    และใน Windows มีรายการรีจิสตรีจำนวนหนึ่งภายใต้ UserAssist ซึ่งช่วยให้ผู้ตรวจสอบสามารถดูว่าโปรแกรมใดบ้างที่ถูกเรียกใช้งานเมื่อเร็วๆ นี้บนระบบ สิ่งนี้มีประโยชน์อย่างยิ่งในการสืบสวนที่ผู้ตรวจสอบต้องการดูว่ามีการใช้งานแอปพลิเคชันใดอยู่หรือไม่ เช่น เครื่องมือการเข้ารหัสหรือการล้างข้อมูล  

     ข้อมูล UserAssist จะมีข้อมูลว่าแอปพลิเคชันถูกเรียกใช้จากทางลัด (ไฟล์ LNK) หรือจากไฟล์ปฏิบัติการโดยตรง  (executable) ซึ่งจะช่วยให้ผู้ตรวจสอบได้รับบริบทเพิ่มเติมเกี่ยวกับการทำงานของโปรแกรม

    มีการนำเทคนิค ROT13 ทำการ Encode   ข้อมูลไว้ภายใต้กลุ่ม  UserAssist  รีจิสทรีส่วนนี้ติดตามข้อมูลเกี่ยวกับแอปพลิเคชันที่ติดตั้งและทำงานบนเครื่อง และสามารถช่วยคุณค้นหาหลักฐานการมีอยู่และการทำงานของแอปพลิเคชันเหล่านั้น

อย่างไรก็ตาม สิ่งสำคัญคือต้องทราบว่าไม่ใช่ทุกแอปพลิเคชันที่ใช้ Windows Registry เพื่อจัดเก็บรายละเอียดการกำหนดค่าและการดำเนินการ แม้ว่าจะไม่พบบันทึกที่นั่น แต่ก็ไม่ได้หมายความว่าแอปพลิเคชันบางตัวไม่เคยเป็นส่วนหนึ่งของระบบ 

Extracting UserAssist information from the Windows registry

รีจิสทรีของ Windows เก็บข้อมูลกลุ่ม HKEY_CURRENT_USER ในไฟล์ NTUSER.DAT ที่อยู่ใน C:\Users\%useraccount% บัญชีผู้ใช้แต่ละบัญชีในระบบมี NTUSER.DAT ของตัวเอง ไฟล์นี้มีข้อมูลการกำหนดค่าผู้ใช้ ซึ่งจะอัปเดตตลอด 

วิธีที่รวดเร็วที่สุดในการรับข้อมูล UserAssist คือการวิเคราะห์โฟลเดอร์ C:\Users\%useraccount% โดยใช้เครื่องมือนิติวิทยาศาสตร์ดิจิทัล  เช่น Autopsy ,AccessData Registry Viewer ,Beklasoft,Magnet ,Registry  Recon ,CyberChef ,OSforensics Registry Viewer ,Registry Explorer


คุณสามารถแยกวิเคราะห์ NTUSER.DAT ได้ด้วยตนเอง อย่างไรก็ตาม มันเกี่ยวข้องกับการเจาะลึกโครงสร้างไฟล์และเทคนิคการเข้ารหัส เนื่องจากไฟล์เก็บข้อมูลในรูปแบบไบนารี และข้อมูล UserAssist ถูกทำให้สับสนด้วยการเข้ารหัส ROT13 นอกจากนี้ เมื่อต้องจัดการกับบันทึกที่อาจถูกลบ เครื่องมือทั่วไป เช่น Registry Editor อาจทำให้เราอ่านค่าเหล่านั้นได้ยาก

DIGITAL FORENSICS:Decoding Windows Registry Artifacts

เครื่องมือ  Forensics Tools จะแยกวิเคราะห์ข้อมูลรีจิสทรี UserAssist และถอดรหัสข้อมูลที่เข้ารหัส ROT13 โดยให้ชื่อไฟล์และพาธแก่ผู้ตรวจสอบ จำนวนการเรียกใช้แอปพลิเคชัน ผู้ใช้ที่เกี่ยวข้อง และวันที่/เวลาที่โปรแกรมถูกเรียกใช้งานครั้งล่าสุด

Analyzing the UserAssist artifact

  • Autopsy V.4.19
DIGITAL FORENSICS Analyzing the UserAssist artifact
ชื่อและเส้นทางแอปพลิเคชันที่ดำเนินการ (ฟิลด์ชื่อ ค่าแสดงค่าดั้งเดิมที่เข้ารหัสใน ROT13) name and path (red highlights) 
  • Registry  Recon V.2.4

DIGITAL FORENSICS:Decode ROT13

  • AccessData Registry Viewer V.1.8
DIGITAL FORENSICS:Decoding Windows Registry Artifacts

  • OSforensics Registry Viewer V.7.1
DIGITAL FORENSICS:Decoding Windows Registry Artifacts

  • Belkasoft X

DIGITAL FORENSICS:Decode ROT13

  • Registry Explorer V.2.0
DIGITAL FORENSICS decodes ROT13

  • CyberChef    > Decode ROT13
DIGITAL FORENSICS:Decoding Windows Registry Artifacts


เส้นทางการดำเนินการจริงบนเครื่อง เช่น "C:\Program Files\ExampleApp"
ชุดค่า  GUID/เส้นทาง โดยที่ GUID แสดงถึงโฟลเดอร์ระบบมาตรฐาน คุณสามารถค้นหาข้อมูลเกี่ยวกับวิธีการตีความ GUID เหล่านี้ได้ในบทความของ Microsoft "Known Folder GUIDs forFile Dialog Custom Places"
Known Folder GUIDs for File Dialog Custom Places
ตัวอย่าง
The UserAssist data is obfuscated with ROT13 encoding. 
System 1AC14E77-02E7-4E5D-B744-2EB1AE5198B7
  1. Encode > {1NP14R77-02R7-4R5Q-O744-2RO1NR5198O7}\pzq.rkr     
  2. Decode >{1AC14E77-02E7-4E5D-B744-2EB1AE5198B7}\cmd.exe   

     

อ่านเพื่มเติม: CyberChef

                    ROT13

อ้างอิง :


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Sunday, December 24, 2023

รีวิวการสอบใบรับรอง Certified in Cybersecurity (CC)ของ (ISC)2 สมัครฟรี, เรียนฟรี, สอบฟรี

รีวิวการสอบใบรับรอง Certified in Cybersecurity (CC)ของ (ISC)2 สมัครฟรี, เรียนฟรี, สอบฟรี 
Certified in Cybersecurity (CC)ของ (ISC)2


Registration

เนื่องจากช่วงที่ผมสอบนี้ (25-Dec 2023) ตัว Certified in Cybersecurity สามารถลงทะเบียน เรียนและสอบ ได้ฟรี 1 ล้านคน ดูได้ที่ https://www.isc2.org/1mcc


รีวิวการสอบใบรับรอง Certified in Cybersecurity (CC)ของ (ISC)2

โดยมีขั้นตอนดังนี้

1. สมัครบัญชีกับ (ISC)2

2. สมัครและจองสอบกับ Pearson VUE https://home.pearsonvue.com/isc2

3. เลือกสอบ Certified in Cybersecurity + เลือกสถานที่สอบ + เวลาสอบ

Certified in Cybersecurity (CC)ของ (ISC)2

4. เมื่อถึงหน้าจ่ายเงิน ให้ใส่ coupon ที่ได้รับมา | ใส่ Code  (Promotion valid until: 12/31/2023)

Certified in Cybersecurity (CC)ของ (ISC)2


เนืื้อหา
Certified in Cybersecurity (CC)ของ (ISC)2

จำนวนข้อสอบ 100 ข้อ ข้อสอบเป็นแบบ Choice    เวลา 2 ชม. ข้อสอบเป็นภาษาอังกฤษ
Certified in Cybersecurity (CC)ของ (ISC)2
การเตรียมตัว
  • เรียน (ISC)2 ก่อน ทำ Pre-test, Post-test ให้ผ่าน 70%
    • เมื่อสมัครแล้ว ให้กดไปที่ Study for Exam เลือก Online Self-Paced
Certified in Cybersecurity (CC)ของ (ISC)2
  • Certified in Cybersecurity Practice Quiz
Certified in Cybersecurity (CC)ของ (ISC)2

  • อบรมเพิ่มเติม  โดยแบ่งอ่านตามความรู้ที่เราไม่ถนัด หรืิอไม่ชำนาญ ให้เริ่มอ่านก่อน

โครงการอบรมเชิงปฏิบัติการ Certified in Cybersecurity (CC)

Certified in Cybersecurity (CC)ของ (ISC)2

โครงการนี้เหมือนให้ผมเข้าไปฝึกในห้องการเวลา จาก 1 เดือน ใช้เวลา แค่ 7 ชม. ทบทวนความรู้และสรุปได้เข้าใจง่าย

Certified in Cybersecurity (CC)ของ (ISC)2 สมัครฟรี, เรียนฟรี, สอบฟรี

Certified in Cybersecurity (CC)ของ (ISC)2  อบรม


หลังจากอบรม หลักสูตร Certified in Cybersecurity (CC) แล้วแอดมินก็สอบ ในสัปดาห์ถัดไป 25 ธ.ค 2563 

Certified in Cybersecurity (CC)  (ISC)2

ได้เมลเตือนให้ต่ออายุสมาชิก ก่อนจะโดนปิด account  (กดดัน)

หลักสูตร Certified in Cybersecurity (CC)

We are writing to let you know that the end of your grace period to pay your ISC2 Candidate dues is 2023-12-31. 

Certified in Cybersecurity (CC)ของ (ISC)2

หากไม่ได้รับการชำระเงินภายในวันที่ 31-12-2566 สถานะผู้สมัคร ISC2 ของคุณจะถูกยกเลิก คุณจะไม่สามารถอ้างสิทธิ์สถานะผู้สมัคร ISC2 ของคุณหรือเข้าถึงบัญชีและสิทธิประโยชน์ของผู้สมัคร ISC2 ของคุณได้อีกต่อไป ป้ายดิจิทัลของคุณจะถูกปิดใช้งาน และการเข้าถึงการฝึกอบรม CC ฟรีของคุณจะถูกปิดใช้งาน

วันสอบ ผมจองไว้ 9โมงเช้า ที่ ERT ชั้น3 ตึกชาญอิสระ2 (ขับรถไป ขอบัตรจอดรถที่ศูนย์สอบจอดฟรี 3ชั่วโมง   โดยผมไปถึงศูนย์สอบ 8.00  แต่ศูนย์เปิด 8.30 บอกเขาว่ามาสอบ CC และใช้บัตรประชาชนกับใบขับขี่ เพื่อทำการลงทะเบียน หลังจากนั้น เซ็นชื่อ สแกนมือ สแกนหน้า เก็บของในล็อคเกอร์ ก็จะได้เริ่มสอบตอน 9โมงพอดี

สุดท้ายเมื่อสอบเสร็จ เรากด Submit   แล้วก็เดินออกจากห้องสอบ 

พอออกมาเจ้าหน้าที่ปริ้นท์ผลสอบให้เลยว่าผ่าน  หลังจากสอบเสร็จ แล้วก็ขอบคุณ เจ้าหน้าที่สอบก่อนจะเดินออกไป

Certified in Cybersecurity (CC)ของ (ISC)2


เมื่อสอบผ่านแล้ว เราจะต้องเข้าไป Activate ด้วยนะครับ เขาเรียกว่า การรับรอง (Endorsement) โดยให้เราล็อกอินใน (ISC)2 แล้วเข้าลิงก์นี้ https://apps.isc2.org/Endorsement/#/Home กดเลือก New Endorsement Application โดยหลังสอบประมาณ1–3วัน  จะรอทาง ISC2 ตรวจสอบและยืนยัน Cert 

รีวิวการสอบใบรับรอง Certified in Cybersecurity (CC)ของ (ISC)2
Endorsement Applications Being Processed
Certified in Cybersecurity (CC)ของ (ISC)2
เมื่อสอบผ่านจะได้รับเมล 1-2 วันหลังสอบผ่านจาก isc2.org   

Congratulations! Your application for  CC has been approved


Certified in Cybersecurity (CC)ของ (ISC)2
Certified in Cybersecurity (CC)ของ (ISC)2



หากต้องการให้ Cert อยู่กับเรา  ต้องสมัครสมาชิก โดยมีค่าสมัครอยู่ที่ 50 ดอลลาร์ หรือประมาณ 1,700 บาทครับ 

Certified in Cybersecurity (CC)ของ (ISC)2
Certified in Cybersecurity (CC)

หลังจากทำตามขั้นตอนของ (ISC)2   ก็สามารถไป Claim Badge ใน Credly ได้
Certified in Cybersecurity (CC)ของ (ISC)2

สอบใบรับรอง Certified in Cybersecurity (CC)ของ (ISC)2

จะต้องเก็บเครดิตให้ได้ 45 เครดิตในช่วง 3  ปี เราจึงจะขอคงสภาพ CC ไว้ได้ ซึ่งเครดิตพวกนี้ก็ได้มาหลากหลาย ทั้งการทำงานให้สถาบันรับรอง หรือเข้าร่วมสัมนาออนไลน์ของ (ISC)2 ก็ได้ครับ

Conclusion

                 คนที่มีประสบการณ์การทำงานในสาย Cybersecurity ในระดับหนึ่ง อาจจะดูเนื้อหาคร่าวๆ อ่านเพิ่มแค่บางจุดในDomainที่ตัวเราไม่รู้ ก็สามารถไปสอบได้เลย  ใช้เวลาข้อละ ไม่เกิน 1 นาที เดี๋ยวทำข้อสอบไม่ทัน  แล้วไม่สามารถข้ามข้อสอบได้    (ข้อสอบไม่สามารถย้อนไปทบทวนได้ ตอบแล้วตอบเลย)

โดยปัจจุบันผมทำงานเป็น  IT  &  Network ,Forensics ก็จะมีเนื้อหาบางส่วนที่เรารู้จากการทำงาน   เลยไม่ได้ลงเรียนคอร์สของCC (ISC)² แต่ใช้เวลาReviewเนื้อหาคร่าวๆ1วันในห้องกาลเวลาเพื่อทวน แล้วไปสอบเลย (ขิง)

Certified in Cybersecurity℠ (CC) ถือเป็น ใบเซอร์ตัวหนึ่งที่น่าสนใจ สำหรับผู้เริ่มต้น เนื่องจาก (ISC)² มีชื่อเสียง จากใบเซอร์ เช่น CISSP , แต่ว่าใบเซอร์ที่ยกตัวอย่างมา ส่วนใหญ่จะมีเนื้อหาที่ยากเหมาะสำหรับคนที่ทำงานในสายงานนั้นๆมาแต่ตัว CC เป็นใบเซอร์ที่เหมาะสำหรับอย่างยิ่งสำหรับผู้ที่ต้องการเริ่มต้นมาทำงานในสาย Cybersecurity ลองสอบ เพราะไม่ต้องใช้ประสบการณ์ในการทำงานมากนัก

Example

  • What is the code of ethics for ISC2?

รีวิวการสอบใบรับรอง Certified in Cybersecurity (CC)ของ (ISC)2

  • Segregation of Duties

รีวิวการสอบใบรับรอง Certified in Cybersecurity (CC)ของ (ISC)2

  • Physical control
    รีวิวการสอบใบรับรอง Certified in Cybersecurity (CC)
  • Domain 4: Network Security
    ต้องรู้ว่า OSI layer แต่ละอันอยู่ Layer เท่าไร, ประเภทภัยคุกคาม, Firewall มีไรบ้าง, Port ต่างๆที่ใช้บ่อยๆ ม่ีหลายข้อ
  • Domain 5: Security Operations    Encryption, Hashing, Hardening (3 อันนี้ถามวนไปวนมาหลายข้อเหมือนกัน), ประเภทของ Policy เช่น AUP คือไร เจอบ่อยมากตอนสอบ
    Certified in Cybersecurity (CC)

  • Hot site ,Warm Site ,Cold Site 
    Certified in Cybersecurity (CC)ของ (ISC)2

  • ต้องรู้คำศัพท์เฉพาะด้านไอทีให้ได้ เช่น phishing, frame, packet, IDS/IPS  เจอแน่ๆ
  • ฝึกทำโจทย์เยอะๆ จะได้รู้ว่าตัวเองอ่อน domain ไหน

อ้างอิง:

  • https://www.reddit.com/r/isc2/comments/13wd3ct/passed_my_isc2_cc_exam_resources_tips/

สอบผ่าน Certified in Cybersecurity (CC)ของ (ISC)2


What does CC certification get you?

Certified in Cybersecurity (CC) entry-level certification from ISC2 starts you on a clear path to a rewarding career. The benefits are many. Here are just a few:
  •     Respect - Validate your knowledge and build credibility.  
  •     Job offers and advancement - Gain the solid foundation of cybersecurity knowledge employers are looking for, from an association they trust. 
  •     Growth and learning - Develop new skills you can apply in day-to-day work.  
  •     Pathway to cybersecurity careers and advanced certifications - Build a strong foundation for an infosec career and become familiar with exam formats for advanced ISC2 certifications like CISSP®.
  •     Community of professionals - Access a network of peers and CPE/learning opportunities. 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Friday, December 22, 2023

eCDFP exam Review by Digital Forensics Examiner

eCDFP exam Review by  Digital Forensics Examiner

eCDFP Review by  Digital Forensics Examiner

ดังคำที่ว่า "หลักฐานอยู่ที่ไหน หลักฐานก็อยู่ที่นั้น"

สวัสดีทุกคน วันนี้แอด จะรีวิว สอบ Digital Forensics ของ elearnsecurity ปัจจุบัน เป็นของค่าย INE  Securityและการสอบโดยรวม ขอเล่าก่อนว่าแอด ศึกษามานานจนตั้งแต่ค่ายเก่า จนมาอยู่ค่ายใหม่ถึงมาสอบ เนื่องจากไม่มีเวลาเตรียมตัว 

eLearnSecurity Certified Digital Forensics Professional (eCDFP)

Cert eCDFP ของ INE Security เป็นการสอบเพื่อรับใบรับรองนี้ครอบคลุมถึงการเก็บรักษาหลักฐาน ความรู้พื้นฐานด้านนิติวิทยาศาสตร์ดิจิทัล ความรู้พื้นฐานเกี่ยวกับอุปกรณ์จัดเก็บข้อมูล และเครื่องมือและเทคนิคด้านนิติวิทยาศาสตร์ดิจิทัล
การสอบนี้ออกแบบมาเพือ Blue  Team สำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ โดยจำลองทักษะที่ใช้ระหว่างการมีส่วนร่วมในโลกแห่งความเป็นจริง การสอบนี้แสดงให้เห็นอย่างแท้จริงว่าผู้สมัครมีคุณสมบัติเพียงพอที่จะเป็นส่วนหนึ่งของทีมสืบสวนทางนิติดิจิทัล

Digital Forensics   elearnsecurity
ส่วนตัวผมชอบ Logo eLearnSecurity 

เนื้อหาสำหรับการสอบ
  • Preservation of Evidence (20%)
  • Fundamentals of Digital Forensics (33%)
  • Storage Device Fundamentals (20%)
  • Digital Forensics Tools & Techniques (27%)

eCDFP Review by  Digital Forensics Examiner

eCDFP Learning path
  • เรียนรู้วิธีการจัดเก็บหลักฐาน ชนิด volatile data  และ non-volatile data โดยใช้เทคนิคต่างๆ
  • เจาะลึกโครงสร้างของไฟล์ จากนั้นวิเคราะห์ file headers, malicious documents  และ file metadata
  • ทำความคุ้นเคยกับการเดินผ่านพาร์ติชั่น การกู้คืนดิสก์ที่เสียหาย และการค้นหาข้อมูลที่ซ่อนอยู่ ใช้เครื่องมือWinHex 
  • File & disk analysis เรียนรู้วิธีการวิเคราะห์ทั้งระบบไฟล์ FAT และ NTFS 
  • เรียนรู้เทคนิค file carving และ carving signatures
  • Windows forensics เรียนรู้วิธีวิเคราะห์รีจิสทรีของ Windows, ไฟล์ LNK, prefetch files และ USB Forensics ที่ติดตั้งไว้ก่อนหน้านี้
  • เรียนรู้วิธีดำเนินการตรวจสอบอย่างละเอียดต่อ Skype, Shellbags ของ Explorer และWindows recycle bin
  • Network forensics & Analyzing traffic capture files  มีความเชี่ยวชาญในการสืบสวนการโจมตีเครือข่ายทางนิติวิทยาศาสตร์
  • Log analysis & Timeline analysis สืบหาข้อมูลหลักฐาน  ข้อมูล Log 

สำหรับเนื้อหาในหลักสูตร + LAB
course เรียนของ eLearnSecurity ที่ platform https://ine.com/ ซึ่งในนั้นจะมี course cybersecurity และ อื่น ๆ อีกหลาย courses ให้เรียน

eCDFP exam Review by  Digital Forensics Examiner

eCDFP Review by  Digital Forensics Examiner
พยายามทำ LAB 
eCDFP Review by  Digital Forensics Examiner

Cert ตัวนี้เหมาะกับใคร

eCDFP เป็นใบรับรองสำหรับบุคคลที่มีความเข้าใจด้านเทคนิคในระดับสูงเกี่ยวกับ Networks , System และการโจมตีทางไซเบอร์ ใครๆ ก็สามารถลองทำข้อสอบเพื่อรับใบรับรองได้ อย่างไรก็ตาม ขอแนะนำให้มีทักษะการเรียนรู้ด้านนิติวิทยาศาสตร์ดิจิทัล (เหมาะกับใครก็ได้ที่สอบผ่าน)

eCDFP Review by  Digital Forensics Examiner

ขั้นตอนเตรียมตัว

ศึกษาทฤษฎี หาข้อมูลตาม เนื่้อหาเพื่อเตรียมสอบดังนี้

1. หลักการสำคัญคือ ซื้อ Voucher ก่อนแล้วค่อยเตรียมตัวสอบ  แน่นอน ให้ทุกคนรอปลายเดือน พฤศจิกายน จะมี BLACK FRIDAY ลด 50%    eCDFP Exam เหลือ $200  เหล่านักช๊อปเตรียมบัตรเครดิตให้พร้อมไว้   
eCDFP Review by  Digital Forensics Examiner
2. สำคัญมาก เมื่อใกล้เวลาวันหมดอายุ Voucher  ประมาณ 180 วัน  นับจากวันซื้อ เมื่อเหลือเวลาอีก 2 เดือนจะหมดอายุ  เวลาจวนตัวแล้ว เราก็เริ่มสอบได้   (เนื่องจากเราสามารถสอบได้ 2 ครั้ง ถ้าไม่ผ่าน ก็มีเวลาเหลืออีก 1 เดือนเพื่อเตรียมตัวสอบอีกครั้ง) the certification exam will be in your account and available to attempt for 180 days.

3. สอบผ่านหน้า web browser  ดีกว่าระบบเก่ามาก  ไม่ต้อง VPN ไปสอบเหมือนระบบเก่า  การสอบผ่าน web browser  ค่อนข้างเสถียร ไม่ติดปัญหาอะไร  หากมีปัญหาก็แค่ reload ใหม่ได้ (ปัญหา VPN  จะหมดไปเมื่อคุณสอบบนระบบใหม่ เห็นใจคนที่เคยสอบระบบเก่าของ eLearnSecurity  ครับ)


Review Exam

คราวนี้มารีวิวตัวข้อสอบกันบ้าง การสอบประกอบด้วย ทฤษฎีและปฏิบัติ    โดยมีคำถาม 30 ข้อที่ต้องตอบ คำถามเชิงทฤษฎี 15 ข้อ และเชิงปฏิบัติ 15 ข้อ โดยคุณจะมีเครื่องสองเครื่องพร้อมเครื่องมือทางนิติวิทยาศาสตร์ เครื่อง Windows หนึ่งเครื่อง และ Linux อีกเครื่อง และมีเวลา 24 ชั่วโมง ไม่ต้องทำ report    สอบผ่านเกนฑ์ 76% 

การสอบภาคทฤษฎีนั้นหากคุณได้ลงหลักสูตรอบรมก็สามารถอ่านเนื้อหาจากในหลักสูตร eCDFP หรือใช้ความรู้ที่คุณศึกษามา   อย่างไรก็ตาม ส่วนที่ใช้งานได้จริงนั้นขึ้นอยู่กับข้อสอบเชิงปฏิบัติ เนื่องจากคุณต้องศึกษาและใช้เครื่องมือทางนิติวิทยาศาสตร์ได้ จึงจะสามารถทำข้อสอบเชิงปฏิบัติได้

คุณจะได้รับโจทย์ให้หาคำตอบจาก Image file เช่น AD01, L01  .001  และ .pcap   บนเครื่อง  Windows หนึ่งเครื่อง และ Linux  โดยใช้เครื่องมือทางนิติวิทยาศาสตร์  เช่น FTK Imager, PhotoRec Wireshark  และเครื่องมืออื่นๆ บนเครื่องที่ใช้สอบ เราไม่สามารถติดตั้งโปรแกรมหรือdownload โปรแกรมใดๆเพิ่มได้ อย่างไรก็ตาม คุณควรฝึกการใช้งานเครื่องมือเหล่านี้บนระบบ Windows และบน Linux  เพื่อ ความชำนาญ 

  • ศึกษาการวิเคราะห์ดิสก์และเทคนิคการกู้คืนไฟล์ (partitions and disks ,disk analysis and file recovery techniques)
  • ศึกษาเกี่ยวกับ Jumplist และกระบวนการแยกเพื่อคัดแยกเหตุการณ์
  • รู้โครงสร้างโฟลเดอร์ Windows  ,Windows Registry 
  • ศึกษาการใช้ Wireshark  
  • เรียนรู้วิธีวิเคราะห์รูปแบบต่างๆ โดยใช้ตัววิเคราะห์ดิสก์ เช่น WinHex
  • เรียนรู้แนวคิดทางทางนิติวิทยาศาสตร์ดิจิทัล
  • เรียนรู้เกี่ยวกับโครงสร้างของพาร์ติชันและดิสก์

เมื่อสอบเสร็จจะมี  Exam result  % บอกว่่าคุณทำคะแนน Domain ได้ดี และส่วนไหนที่คุณพลาด เพืือจะได้กลับไปทบทวน  

  • Preservation of Evidence (Your score %)
  • Fundamentals of Digital Forensics (Your score %)
  • Storage Device Fundamentals (Your score )
  • Digital Forensics Tools & Techniques (Your score %)

ใครไม่เชื่อที่แอดเขียน ก็ทำตามนี้ได้ครับ

eCDFP Review by  Digital Forensics Examiner

You passed the eCDFP exam:ของแท้
eCDFP Review by  Digital Forensics Examiner

อ่านเพิ่มเตืิม:

สรุป

Cert นี้เหมาะกับผู้ที่ต้องการสอบ Digital Forensics Cert แบบปฎิบัติจริง ใช้เครื่องมือทางนิติวิทยาศาสตร์ดิจิทัลจริง คุ้มค่าแก่การสอบ เนื่องจากช่วยเสริม  และเตรียมการสอบ CERT  อื่นๆ  อย่างไรก็ตาม หากคุณลงเรียนหลักสูตรนี้ คุณจะได้เรียนรู้สิ่งดีๆ และมีประโยชน์มากมาย อย่างไรก็ตาม หากคุณสอบผ่านโดยไม่ได้ลงคอร์สอบรมและมีประสบการณ์ด้่านนิติวิทยาศาสตร์ดิจิทัลด้วย ถืิอว่่าคุณทำได้ดีมาก และที่สำคัญ Cert ตัวนี้ ( Does not expire ) 

คุณจะไม่พบเนื่้อหาที่เกี่ยวกับ Mobile forensics, Cloud forensicsและ Memory forensics ในหลักสูตรนี้


eCDFP Review by  Digital Forensics Examiner

สุดท้ายนี้ "ขอพลังจงสถิตอยู่กับท่านเหล่า Digital Forensics Examiner ทั้งหลาย"

eCDFP Review by  Digital Forensics Examiner

Reference ine.com

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD