در این دوره مبانی مربوط روش بررسی ادله الکترونیک و شبکه را در رایانه و روش های استفاده از ابزارهای مربوط به آن را فرا خواهید گرفت. موضوعات در این دوره برای هر فردی که بخواهد با روش تحقیق و بررسی ادله الکترونیک و شبکه در رایانه ها آشنا گردد و با استفاده از آن جرائم موجود در را بشناسد و با آنها مقابله کند، الزامی می باشد. علاوه بر آن، برای کسب دانش فنی و عمیق در زمینه ادله الکترونیک در سیستم عامل ویندوز (ویندوز XP و ویندوز 7 ویندوز 8 و ویندوز 1/8 و ویندوز 10 و ویندوز سرور 2008 و 2012) از ابزارهای ادله الکترونیک نظیر AccessData Forensic Toolkit(FTK) و Guidance Software’s EnCase و Registry Analyzer و FTK Imager و Prefetch Analyzer و بسیاری از ابزارهای دیگر استفاده می گردد. اغلب این ابزارها رایگان و متن باز بوده و می توانید با آزمایش های کاملی که با استفاده از این ابزارها ارائه می شود، کاربرد و استفاده از آنها را فرا گیرید.
مختصص ادله الکترونیک:
"تا زمانی که چیزی را نشناسید، نمی توانید خود را از آن محافظت کنید."
هر سازمانی برای مقابله با جرائم فضای مجازی که در رایانه های موجود در شبکه آن می تواندرخ دهد، می بایست خود را آماده نماید. برای رسیدن به این هدف نیاز به تحلیل گران متخصص در زمینه های تحلیل و آنالیز سرقت، تهدید های داخلی و جاسوسی های صنعتی و استفاده نادرست از منابع توسط پرسنل و نفوذ های غیر مجاز به رایانه در سازمان ها، روز به روز افزایش پیدا می کند. سازمان ها و شرکت ها نیاز به افرادی متخصص در حوزه ادله الکترونیک دارند که بتوانند نفوذها و تهدیدهای موجود در سیستم های شان را شناسایی و تحلیل کنند. مباحث در نظر گرفته شده در این دوره بر اساس نیاز های متخصصان دراین حوزه طراحی شده است.
این دوره با تمرکز بر تربیت متخصصین ادله الکترونیک در سیستم عامل ویندوز طراحی شده است. با توجه به اینکه تا چیزی را نشناسید نمی توانید خود را مقابله با آنها حفاظت کنید، در این دوره نحوه درک و شناخت آثار و علائم ادله الکترونیک به عنوان مبانی امنیت اطلاعات مورد توجه و تمرکز قرار گرفته است. در این دوره روش کشف و تحلیل و اعتبارسنجی ادله الکترونیک در سیستم عامل ویندوز را فرا خواهید رفت. چگونگی ردیابی جزئیات عملکرد کاربران در شبکه و سازماندهی شواهد یافت شده با هدف پاسخگویی به رخدادها و تحقیق و تحفص داخلی و بررسی های حقوقی و قانونی از اهداف این دوره می باشد. با کسب مهارت های جدیدی که در این دوره آنها را کسب خواهید کرد، می توانید ضعف های سیستم را بهتر شناسایی کرده و با تهدید های داخلی مقابله کرده، هکر ها را ردیابی کنید و روال های امنیتی را ارتقا دهید. خواه بدانید یا خیر، سیستم عامل ویندوز بطور نامحسوس در مورد کاربران اطلاعات بسیار زیادی را در خود ذخیره و نگهداری می کند. در این دوره با جزئیات جمع آوری این داده ها و اطلاعات را فرا خواهید گرفت.
برای یک تحلیل و بررسی کامل از موضوعات ادله الکترونیک نیاز به در اختیار داشتن داده های واقعی از موضوع مورد نظر می باشد. در این دوره سعی شده است تا با ارائه تمرین ها و آزمایش ها با استفاده از آخرین شواهد و ادله موجود در فناوری های نرم افزاری نوین مایکروسافت (Windows7, Windows8/8.1, Windows 10, Office365, Cloud Storage, Sharepoint, Exchange, Outlook) با نحوه شناسایی و تحلیل آنها آشنا شوید. روش های ارائه شده با استفاده از جدیدترین ابزارها و فناوری های موجود در زمینه ادله الکترونیک طراحی شده است تا بتوانید از آنها در بررسی و جمع آوری ادله در سیستم های پیچیده استفاده کنید.
هیچ چیزی به اندازه برخورد با چالش های موجود و کسب مهارت و تجربه در مسیر حل آنها نمی تواند شما را حوزه تحقیق و تحفص ادله الکترونیک آماده نماید.
در این بخش سعی بر این است که در مواجهه با یک مورد واقعی در یکی از نسخه های اخیر سیستم عامل ویندوز، کلیه مباحثی که تا به ایتجا در مورد بررسی ادله الکترونیک فراگرفته اید را برای آن بکار گیریدو به این ترتیب مهارت و قابلیت های کسب شده خود را آزمایش کنید.
دوره ادله الکترونیک ویندوز با بررسی ادله الکترونیک در فضاهای مرتبط امروزی و تشریح چالش های مربوط به آنها در دستگاه های همراه، تبلت ها و حافظه های ابری و سیستم عامل های مدرن ویندوز آغاز می گردد. در این بخش با دیسک های سخت جدید نظیر SSD (Solid State Devices) که نحوه عملکرد آنها در جمع آوری و بررسی ادله الکترونیک نقش موثری دارند نیز آشنا خواهید شد.
دربررسی های ادله الکترونیک افزایش حجم دیسک های سخت کار را بیش از پیش دشوارتر می سازد. برای بررسی دقیق و کامل اطلاعات موجود بر روی دیسک سخت تهیه کپی کامل از آن لازم و ضروری می باشد. در بسیاری از ابزارهای ادله الکترونیک قابلیت تهیه کپی با جلوگیری از ثبت اطلاعات بر روی آنها وجود دارد. در این درس با قابلیت های اصلی مربوط به روش ها و تکنیک های جمع آوری و بررسی اطلاعات در ابزارهای امروزی آشنا خواهید شد. در مثال های اارائه شده با چگونگی جمع آوری اطلاعات از حافظه، ساختارهای فایل NTFS MFT و فایل های وقایع نگار ویندوز و رجیستری و فایل های اصلی که می توانند ظرف مدت چند دقیقه انجام پذیرند، آشنا خواهید شد.
همچنین با چگونگی تحلیل و بررسی شواهد جمع آوری شده با استفاده از تکنیک های استخراج اطلاعات بر اساس جریان داده ها و یا بر مبنای فایل ها آشنا خواهید شد. در این راه از ابزارهای متن باز و تجاری استفاده می شود. هدف این دوره با توجه به اینکه بررسی و تحلیل داده های جمع آوری شده کلید اصلی دستیابی به پاسخ سوالات مهم و اساسی در بررسی ادله الکترونیک در یک پرونده می باشد. انتخاب شده است.
در ابن بخش بررسی و آنالیز محتویات و اطلاعات موجود در رجیستری ویندوز می پردازیم، جایی که متخصصین ادله الکترونیک می توانند اطلاعات مهم و کلیدی در مورد نرم افزارها و کاربران سیستم را در حریان تحقیقات و بررسی های شان از آن استخراج کنند. با مراحل و روند بررسی محتوای رجیستری برای کسب اطلاعات پروفایل کاربران و داده های مربوط به سیستم عامل آشنا خواهید شد. در این بخش روش اثبات ادله مربوط به اینکه کاربر خاصی از یک کلید واژه استفاده کرده است و یا برنامه مشخصی را اجرا کرده است و یا فایل مشخصی را باز کرده و یا آن را ذخیره نموده است، و یا با پوشه مشخصی کارکرده است و یا اینکه از حافظه قابل حمل استفاده کرده است، را فرا خواهید گرفت.
در طی این بخش مهارت های مورد نیاز برای بررسی و تحلیل موضوعات مرتبط با رجیستری را با استفاده از مثال ها و نمونه های واقعی فرا خواهید گرفت.
تعیین زمان اولین و آخرین باری که فایل مورد نظر باز شده است از جمله مهارت های مهم متخصص ادله الکترونیک می باشد. با استفاده از میانبرها (LNK) و بانک اطلاعات jumplist می توان مشخص کرد که فایل مورد نظر چه زمانی باز شده است. در این بخش به چگونگی بررسی حافظه مجازی و حافظه سیستم و فضاهای تخصیص نیافته و کلیه مکان هایی که دسترسی به آنها دشوار می باشد ولی می توانند اطلاعات مهم و حساسی را در روند بررسی های ادله الکترونیک در اختیارمان قرار دهند، خواهیم پرداخت .
در بررسی های ادله الکترونیک، تحقیق و تفحص در مورد حافظه های قابل حمل از اهمیت زیادی برخوردار می باشد. در این بخش به چگونگی آنالیز و بررسی دقیق حافظه USB در سیتم عامل های Windows XP و Windows Vista و Windows 7 و Windows 8 خواهیم پرداخت. تکنیک هایی را فرا خواهید گرفت که با استفاده از آنها می توانید زمان اولین و آخرین باری که حافظه قابل به سیستم متصل شده است را تعیین کنید و علاوه برآن مارک و مدل و سازنده و همچنین شماره سریال آن را نیز مشخص کنید.
بر اساس نوع تحقیق و مجوزهای در دسترس، می توان شواهد و ادله بسیار زیادی را از داخل رایانامه ها و فایل های مربوط به آنها استخراج نمود. بازیابی پیام های ارسال شده توسط رایانامه می توانند رخدادها و شواهد بسیاری را در ارتباط با جرائم رخداده شده ارائه کنند. البته ممکن است که رایانامه های مربوط به کاربران در کامپیوتر شخصی شان و یا سرور مربوطه و یا در فضای ابری اختصاصی و یا بطور همزمان در چندین حساب کاربری رایانامه تحت وب قرار داشته باشند.
در این بخش، انواع اطلاعاتی که در ارتباط با این نوع تحقیق تفحص را که از طریق محتوای رایانامه ها استخراج می شوند و همجنین چگونگی استفاده از ابزارهای ادله الکترونیک برای سهولت در انجام آن را شرح خواهیم داد. روش مورد استفاده در تفحص و استخراج ادله برای انواع رایانامه شبیه به هم می باشند، اما کار اصلی مربوط به آماده سازی شواهد و رخدادهای یافت شده از محتوای رایانامه هایی است که از منابع مختلف جمع آوری شده اند.
در آخر، بررسی وتفحص در محتوای فایل های وقایع نگار ویندوز می تواند روشی مناسب تر در مقایسه با سایر روش ها در حل بسیاری از موارد باشد . شناخت از محل و محتوای فایل های وقایع نگار در موفقیت بررسی های ادله الکترونیک می تواند نقش مهم و اساسی داشته باشد. بسیاری از کسانی که بدنبال ادله الکترونیک جستجو می کنند، به دلیل عدم دانش کافی و دقیق و شناخت مناسب از ابزارهای بررسی محتوای این فایلها، آنها را نادیده می گیرند. در انتهای این بخش سعی خواهیم کرد تا با ارائه موارد و مثال های کاربردی و ، دانش مورد نیاز در این حوزه را که در طی سال های متمادی بوجود آمده است را در اختیارتان قرار دهیم.
با افزایش استفاده از شبکه وب و حرکت به سمت استفاده از نرم افزارهای کاربردی تحت وب و فضاهای ابری، بررسی مرورگرها از دیدگاه ادله الکترونیک و شبکه، یک مهارت مهم به شمار می آید. در این بخش، با رخدادها و شواهد مرتبط با مرورگر های پرکاربرد و نحوه بررسی و تحلیل آنها آشنا خواهید شد. همچنین چگونگی استفاده از دانشی را که در زمینه های SQLite و بانک اطلاعات ESE کسب خواهید کرد را برای بررسی ادله الکترونیک در مرورگرها وب فرا خواهید گرفت . در ادامه با نحوه بررسی شواهد به جای مانده در مرورگرها از دیدگاه ادله الکترونیک آشنا شده و با اهم این شواهد که عبارتند از کوکی ها، تاریخچه مرورها و دانلود ها از تارنماها، فایل های موجود در حافظه پنهان اینترنت، افزونه های مرورگر و داده های وارد شده در فرم ها آشنا می شوید. در این بخش با چگونگی یافتن فایل های مرتبط با مرورگرها و اشتباه های متداولی که در زمان بررسی شواهد و رخدادهای موجود در آنها مرتکب می شوید، آشنا خواهید شد. همچنین نحوه بررسی و تحلیل شواهد مخفی در مرورگرها نظیر اطلاعات مورد نیاز برای بازخوانی مرورها ، پیگرد کوکی ها و شواهد به جای مانده از مرور های خصوصی را یاد خواهید گرفت.
در این بخش با استفاده از مهارت هایی که در استفاده از ابزارهای ادله الکترونیک کسب خواهید کرد، می توانید شواهد موجود در مروگرهای پرکاربرد و همچنین آثار و علائم موجود در سیستم عامل ویندوز مرتبط با مرورگرها را جمع آوری و بررسی کنید.