兴百邦EnCase培训中心计划于2017年1月6日举办EnCase电子数据取证实战及技能提升(中级)培训课程,有意向报名,请联系我们。
电话:0592-3278928 Email:encase@www.binarydata.cn
=================================================
课程相关介绍:
课程英文全称: Building an Investigation with EnCase Forensic
课程中文全称:EnCase电子数据取证实战及技能提升
课程编号:DF210 | CPE 分数: 32
课程级别: 中级 | 学习要求: 学员已完成学习DF120培训课程
一、课程简介
该课程主要为掌握计算机基本技能、电子数据取证基础及EnCase软件应用的调查人员设计。课程是基于DF120课程要求的技能,让调查员进一步学习EnCase的特有功能,提升个人能力从而实现提高工作效率。学员必须掌握证据处理、证据文件结构、创建和使用案例、数据获取方法、硬件写保护、网络交叉线及盘到盘的证据获取。此外,学员还需掌握FAT文件系统的删除文件及文件夹的恢复、使用关键词对物理介质和逻辑介质进行搜索、创建和使用书签、文件签名和签名分析、搜索及解析各种Windows痕迹数据。
二、参加对象
该课程主要面向IT安全专家、法律诉讼支持专家及电子数据取证调查员。参加此课程要求学员已参加过DF120课程。
三、课程学习内容
- 恢复加密信息(如Windows BitLocker加密磁盘中加密数据的提取)
- 查找及恢复已删除分区
- 复合文件(Compound Files)的处理与分析
- Windows注册表工作原理及数据分析
- 判断系统使用的时区,掌握在案例中正确调整时区的方法
- 创建及使用条件表达式(Conditions)实现高效搜索
- EnCase证据处理器的配置与应用
- FAT/exFAT/NTFS文件系统概述
- 关键词搜索技巧及GREP语法应用
- 逻辑证据文件及单一文件的创建与应用
- 识别Windows操作系统常见系统痕迹(如快捷方式文件、回收站及用户文件夹等)
- 回收站(Recycle Bin)的数据恢复
- 系统残留痕迹的恢复(如swap交换文件、文件残留区、打印机脱机文件等)
- 电子邮件及附件的搜索方法及技巧
- 上网记录及电子邮件相关痕迹的检验方法
- USB移动设备的数据恢复