DF210-EnCase电子数据取证实战及技能提升

课程英文全称: Building an Investigation with EnCase Forensic 

课程中文全称:EnCase电子数据取证实战及技能提升

课程编号:DF210   |   CPE 分数: 32

课程级别:  中级  |  学习要求: 学员已完成学习DF120培训课程

 

一、课程简介

该课程主要为掌握计算机基本技能、电子数据取证基础及EnCase软件应用的调查人员设计。课程是基于DF120课程要求的技能,让调查员进一步学习EnCase的特有功能,提升个人能力从而实现提高工作效率。学员必须掌握证据处理、证据文件结构、创建和使用案例、数据获取方法、硬件写保护、网络交叉线及盘到盘的证据获取。此外,学员还需掌握FAT文件系统的删除文件及文件夹的恢复、使用关键词对物理介质和逻辑介质进行搜索、创建和使用书签、文件签名和签名分析、搜索及解析各种Windows痕迹数据。

二、参加对象

该课程主要面向IT安全专家、法律诉讼支持专家及电子数据取证调查员。参加此课程要求学员已参加过DF120课程。

 

三、课程学习内容

 • 恢复加密信息(如Windows BitLocker加密磁盘中加密数据的提取)
 • 查找及恢复已删除分区
 • 复合文件(Compound Files)的处理与分析
 • Windows注册表工作原理及数据分析
 • 判断系统使用的时区,掌握在案例中正确调整时区的方法
 • 创建及使用条件表达式(Conditions)实现高效搜索
 • EnCase证据处理器的配置与应用
 • FAT/exFAT/NTFS文件系统概述
 • 关键词搜索技巧及GREP语法应用
 • 逻辑证据文件及单一文件的创建与应用
 • 识别Windows操作系统常见系统痕迹(如快捷方式文件、回收站及用户文件夹等)
 • 回收站(Recycle Bin)的数据恢复
 • 系统残留痕迹的恢复(如swap交换文件、文件残留区、打印机脱机文件等)
 • 电子邮件及附件的搜索方法及技巧
 • 上网记录及电子邮件相关痕迹的检验方法
 • USB移动设备的数据恢复

上一篇:

相关新闻