ANT4001 - Цифровая криминалистика оперативной памяти

Описание курса:

Материал данного курса позволит слушателям изучить процессы, техники и инструменты проведения криминалистических исследований цифровых данных в оперативной памяти. Материал курса охватывает также вопросы организации процессов цифровой криминалистики и их встраивания в общую архитектуру корпоративной кибербезопасности.

Аудитория курса:

Инженеры, занимающие обработкой инцидентов кибербезопасности, а также инженеры, занимающиеся цифровой криминалистикой.

Предварительные требования к аудитории:

Необходимо обладать знаниями об архитектуре и работе операционных систем на уровне курсов ANT-OW101 и OL101, знаниями о процессах обработки инцидентов кибербезопасности на уровне курса ANT0401, а также знаниями в области цифровой криминалистики на уровне курсов ANT0402 и ANT0403.

Содержание курса:

Модуль 1 – Цикл жизни кибератак.

Классификация кибератак.
Этапа проведения кибератаки.
Артефакты кибератак и их взаимосвязь.

Модуль 2 – Методология цифровой криминалистики.

Процесс проведения криминалистических исследований.
Инструменты цифровой криминалистики.
Методика обработки инцидентов кибербезопасности.
Восстановление цепи событий по артефактам кибератаки.
Формирование и анализ индикаторов компрометации в цифровых системах.

Модуль 3 – Принципы анализа оперативной памяти и быстро изменяющейся информации.

Методы получения информации из оперативной памяти.
Методы получения информации из регистров и кэша процессора.
Основные методы анализа dump’ов оперативной памяти.

Модуль 4 – Анализ оперативной памяти Windows.

Объекты и пулы ресурсов.
Процессы и их компоненты.
Поиск вредоносного п/о и его артефактов.
Анализ данных реестра.
Log’и и события.
Артефакты сетевой подсистемы.
Сервисы Windows.
Данные ядра и поиск rootkit’ов.
Анализ данных подсистемы GUI.
Артефакты пользовательских действий и приложений.
Артефакты вспомогательных системных процессов.
Восстановление хронологии кибератаки.

Модуль 5 – Анализ оперативной памяти Linux.

Процессы и их компоненты.
Поиск вредоносного п/о и его артефактов.
Log’и и события.
Артефакты сетевой подсистемы.
Данные ядра и поиск rootkit’ов.
Артефакты пользовательских действий и приложений.
Артефакты вспомогательных системных процессов.
Восстановление хронологии кибератаки.

Модуль 6 – Анализ оперативной памяти macOS.

Процессы и их компоненты.
Поиск вредоносного п/о и его артефактов.
Log’и и события.
Артефакты сетевой подсистемы.
Данные ядра и поиск rootkit’ов.
Артефакты пользовательских действий и приложений.
Артефакты вспомогательных системных процессов.
Восстановление хронологии кибератаки.

Модуль 7 – Цифровая криминалистика в архитектуре корпоративной кибербезопасности.

Архитектура корпоративной кибербезопасности
Мониторинг событий и инцидентов кибербезопасности.
Реагирование на события и инциденты кибербезопасности.
Организация процессов цифровой криминалистики.
Встраивание процессов цифровой криминалистики в процессы корпоративной кибербезопасности.