|
領域
|
子領域
|
描述
|
問題數
|
重量比
|
|
1.鑑識科學
|
電腦取證的目的和需求
|
了解電腦取證,並解釋電腦取證的目的和好處
應用企業調查理論(ETI)的關鍵概念
|
22
|
15%
|
|
取證準備
|
融合電腦網路攻擊分析以及犯罪和反情報調查與操作
|
|||
|
網路犯罪
|
確定犯罪要素
檢查各種電腦犯罪
|
|||
|
Web應用程序和Web服務器攻擊
|
了解各種類型的Web攻擊
|
|||
|
電子郵件犯罪
|
了解各種類型的電子郵件攻擊
|
|||
|
網路攻擊
|
了解各種類型的網路攻擊
|
|||
|
取證和移動設備
|
了解基於移動的操作系統,其體系結構,引導過程,密碼/密碼/模式鎖定旁路機制
|
|||
|
網路犯罪調查
|
了解網路犯罪調查的重要性
|
|||
|
電腦取證調查方法
|
了解鑑識調查涉及的方法
|
|||
|
報告網路犯罪
|
擔任技術專家和聯絡人,與執法人員聯繫,並解釋事件詳細信息,提供證詞等。
|
|||
|
專家證人
|
了解專家證人在電腦取證中的作用
|
|||
|
2.法規,政策和道德
|
搜索和搶占
帶有和不帶有保修單的電腦
|
識別與電腦取證調查有關的法律問題和報告
|
15
|
10%
|
|
打擊電子郵件犯罪的法律和法規
|
識別與電腦取證調查有關的法律問題和報告
|
|||
|
與日誌管理有關的法律
|
識別與日誌管理有關的法律問題和報告
|
|||
|
有關移動取證的政策
|
確定組織的內部BYOD和信息安全策略
|
|||
|
打擊電子郵件犯罪的法律和法規
|
識別和/或確定安全事件是否表示需要採取特定法律行動的違反法律的行為
|
|||
|
作證時的一般道德
|
識別與電腦取證調查有關的法律問題和報告
|
|||
|
3.數位證據
|
數位證據
|
應用企業調查理論(ETI)的關鍵概念
|
30
|
20%
|
|
數位證據的類型
|
了解數位證據的各種類型和性質
|
|||
|
證據規則
|
了解最佳證據規則
|
|||
|
電子證據:類型和收集潛在證據
|
保護信息源的電子設備,使用專門的設備和技術對數位證據進行分類,記錄,提取,收集,打包和保存
|
|||
|
電子犯罪和數位證據
按罪行類別考慮
|
按犯罪類別分列的電子犯罪和數位證據考慮
|
|||
|
|
電腦取證實驗室
|
創建證據的鑑識聲音副本(鑑識圖像),以確保原始證據不存在
意外修改,用於數據恢復和分析過程。這包括HDD SSD,CD / DVD,PDA,移動電話,GPS和所有磁帶格式。
|
|
|
|
了解硬盤
|
在文件系統上執行MAC時間軸分析
|
|||
|
磁盤分區和啟動過程
|
了解Windows和Macintosh的啟動過程,並處理易失性數據
|
|||
|
了解文件系統
|
了解文件系統並在數位取證調查中提供幫助
|
|||
|
Windows文件系統
|
了解Windows文件系統並在數位取證調查中提供幫助
|
|||
|
Linux文件系統
|
了解Linux文件系統並幫助進行數位取證調查
|
|||
|
Mac OS X文件系統
|
了解Mac OS X文件系統並幫助進行數位取證調查
|
|||
|
RAID存儲系統
|
了解RAID存儲系統並幫助進行數位取證調查
|
|||
|
文件雕刻
|
了解雕刻過程並為取證調查提供幫助
|
|||
|
圖像文件
|
了解圖像文件格式
|
|||
|
分析日誌
|
了解電腦安全日誌
|
|||
|
數據庫取證
|
執行MySQL取證
執行MSSQL取證
|
|||
|
電子郵件標題
|
執行調查電子郵件犯罪的各種步驟
|
|||
|
分析電子郵件標題
|
對電子郵件標題進行分析並收集證據信息
|
|||
|
|
惡意軟件分析
|
執行靜態和動態惡意軟件分析
|
|
|
|
移動操作系統
|
了解移動設備的硬件和軟件特徵
了解調查前應採取的不同預防措施
執行涉及移動取證的各種流程
|
|||
|
4.程序與方法
|
調查電腦犯罪
|
利用信息技術系統和數位存儲媒體來解決和起訴針對人員和財產的網路犯罪和欺詐行為識別,收集和扣押文件或實物證據,包括與網路入侵事件,調查和操作相關的數位媒體和日誌
|
30
|
20%
|
|
電腦取證調查方法
|
撰寫和公開電腦網路防禦指南,並向有關選民報告事故徵候
確定和開發線索並確定信息來源,以識別和起訴入侵調查的責任方
處理犯罪現場
跟踪和記錄從最初發現到最終解決的電腦網路防禦事件
制定調查計劃,以使用電腦和互聯網調查涉嫌犯罪,違法或可疑活動
識別從Internet或內部攻擊者訪問系統的外部攻擊者,即授權用戶嘗試
獲取和濫用非授權特權
與情報分析師協調以關聯威脅評估數據
|
|||
|
數位證據審查程序
|
確保獲取的所有數位媒體都遵循監管鏈(例如指示,分析和警告標準操作程序)
標識數位證據以進行檢查和分析,以免意外更改
協助收集和保存用於起訴電腦犯罪的證據
|
|||
|
|
|
通過確保數據完整性來準備用於成像的數位媒體(例如,按照標準操作程序編寫阻止程序)
準備報告以進行文件分析
|
|
|
|
加密
|
使用技術手段解密捕獲的數據
|
|||
|
急救人員
|
在事件響應團隊與內部(例如,法律部門)和外部(例如,執法機構,供應商和公共關係專業人士)的其他小組之間建立關係(如果適用)
協調並為企業範圍的電腦網路防禦技術人員提供專家技術支持,以解決電腦網路防禦事件
|
|||
|
急救基礎
|
執行電腦網路防禦事件分類以包括確定範圍,緊迫性和潛在影響;確定特定漏洞並提出建議,以加快修復速度
|
|||
|
急救人員的角色
|
記錄數位和/或相關證據的原始狀況(例如,通過數位照片,書面報告等)
執行初步的取證聲音圖像收集並檢查以識別企業系統上可能的緩解/補救措施
執行實時電腦網路防禦事件處理(例如,取證,入侵關聯/跟踪,威脅分析和直接系統修復)任務,以支持可部署的事件響應團隊(IRT)
向有關人員提供有關數位證據問題的技術幫助
|
|||
|
|
|
對受害者,證人和嫌疑犯進行採訪和訊問
使用專門的設備和技術來分類,記錄,提取,收集,包裝和保存數位證據
記錄數位和/或相關證據的原始狀況(例如,通過數位照片,書面報告等)
獨立進行涉及復雜電腦程序和網路的犯罪活動的大規模調查
|
|
|
|
數據採集與復制
|
檢查恢復的數據以查找與手頭問題相關的項目
關聯事件數據以識別特定漏洞並提出建議以實現快速補救
執行靜態媒體分析
查看鑑識圖像和其他數據源以恢復潛在的相關信息
標識數位證據以進行檢查和分析,以免意外更改
識別具有證據價值的情報數據,以支持反情報和刑事調查
監視外部數據源(例如,電腦網路防禦供應商站點,電腦緊急響應團隊,SANS,安全焦點)以維護電腦網路防禦威脅狀況的持續性並確定
安全問題可能會對企業產生影響
|
|||
|
擊敗取證技術
|
識別取證技術
恢復已刪除的文件和分區
繞過Windows和應用程序的密碼
檢測隱寫術並識別隱藏內容
|
|||
|
日誌管理和事件關聯
|
響應事件執行命令和控制功能
分析電腦生成的威脅
|
|||
|
|
網路取證(入侵檢測系統(IDS))
|
執行電腦網路防禦趨勢分析和報告
在可能的情況下,確認有關入侵的已知信息並發現新信息
通過動態分析識別入侵
|
|
|
|
電腦取證報告和調查報告撰寫
|
編制報告,以組織和記錄所使用的回收證據和取證過程
編寫並發布電腦網路防禦指南,並向有關人員報告事件發現
|
|||
|
5.數位取證
|
恢復數據
|
執行文件簽名分析,執行第1、2和3層惡意軟件分析
|
37
|
25%
|
|
文件系統分析
|
分析FAT,NTFS,Ext2,Ext3,UFS1和UFS2中的文件系統內容
|
|||
|
Windows取證
|
收集易失性和非易失性信息
執行Windows註冊表分析
執行緩存,Cookie和歷史記錄分析
執行Windows文件分析
執行元數據調查
分析Windows事件日誌
|
|||
|
Linux取證
|
收集易失性和非易失性信息
使用各種Shell命令
檢查Linux日誌文件
|
|||
|
MAC取證
|
檢查MAC取證數據
檢查MAC日誌文件
分析MAC目錄
|
|||
|
恢復已刪除的文件和分區
|
檢查MAC取證數據
檢查MAC日誌文件
分析MAC目錄
|
|||
|
隱寫術和圖像文件取證
|
檢測隱寫術
以鑑識聲音處理圖像
|
|||
|
|
隱寫分析
|
執行隱寫分析以恢復使用隱寫術隱藏的數據
|
|
|
|
應用密碼破解程序
|
了解各種密碼破解技術
破解密碼以恢復受保護的信息和數據
|
|||
|
調查和分析日誌
|
進行日誌文件,證據和其他信息的分析,以確定確定網路入侵肇事者的最佳方法
進行日誌文件,證據和其他信息的分析,以確定確定網路入侵肇事者的最佳方法
|
|||
|
調查網路流量
|
接收和分析來自企業內各種來源的網路警報,並確定此類警報的可能原因接收和分析來自企業內各種來源的網路警報,並確定此類警報的可能原因
|
|||
|
調查無線攻擊
|
調查無線攻擊
|
|||
|
網路攻擊調查
|
對來自各種來源的日誌文件進行分析(例如,各個主機日誌,網路流量日誌,防火牆日誌和入侵檢測系統日誌),以識別可能對網路安全造成的威脅
|
|||
|
調查電子郵件犯罪和違規
|
執行調查電子郵件犯罪的各種步驟
|
|||
|
流動取證程序
|
執行涉及移動取證的各種流程
|
|||
|
雲取證
|
對雲存儲服務(例如Google Drive和Dropbox)進行調查
|
|||
|
惡意軟件取證
|
了解並執行靜態和動態惡意軟件分析
|
|||
|
|
擊敗鑑識技術
|
繞過取證技術並訪問所需的資源
|
|
|
|
6.工具/系統/程序
|
急救人員工具包
|
維護可部署的電腦網路防禦工具包(例如,專用的電腦網路防禦軟件/硬件)以支持事件響應團隊的任務
|
16
|
10%
|
|
Windows取證工具(Helix3 Pro,X-Ways取證,Windows取證工具箱(WFT),
屍檢,偵查工具包(TSK)等)
|
識別並準確報告指示特定操作系統的取證偽像
進行現場取證分析(例如,將Helix與LiveView結合使用)
執行動態分析以啟動驅動器(不一定具有原始驅動器)的“映像”,以在本機環境中查看用戶可能看到的入侵
使用數據雕刻技術(例如驗屍)提取數據以進行進一步分析
使用技術手段解密捕獲的數據
|
|||
|
數據採集軟件工具(UltraKit,鑑識獵鷹等)
|
執行數據採集(使用UltraKit,Active @ Disk Image,DriveSpy等)
|
|||
|
打敗鑑識的工具
|
使用文件恢復工具(例如,恢復我的文件,EaseUS數據恢復嚮導等),分區恢復工具(例如,Active @分區恢復,7數據分區恢復,Acronis Disk Director Suite等),Rainbow
Tables生成工具(例如rtgen,Winrtgen),Windows管理員密碼重置工具(例如Active @密碼轉換器,Windows密碼恢復啟動盤等)。
了解應用程序密碼破解工具(例如,Passware Kit Forensic,SmartKey密碼恢復捆綁軟件標準等),隱寫術檢測工具(例如,Gargoyle
Investigator™Forensic Pro,StegSecret等)的用法
|
|||
|
|
隱寫術工具
|
使用工具查找和恢復圖像文件
|
|
|
|
數據庫取證工具
|
使用工具執行數據庫取證(例如,使用ApexSQL DBA,SQL Server Management Studio等進行數據庫取證)
|
|||
|
密碼破解工具
|
使用工具來收集受阻的證據
|
|||
|
網路取證工具
|
在通過動態分析確定入侵之後,使用網路監視工具來捕獲由任何正在運行的惡意代碼產生的實時流量
了解無線取證工具(例如,NetStumbler,NetSurveyor,Vistumbler,WirelessMon,Kismet,OmniPeek,用於Wi-Fi的CommView,Wi-Fi USB Dongle:AirPcap,tcpdump,KisMAC,Aircrack-ng
SuiteAirMagnet WiFi分析儀,MiniStumbler,WiFiFoFum)的工作原理,
NetworkManager,KWiFiManager,Aironet無線LAN,AirMagnet WiFi分析儀,Cascade Pilot個人版,網路觀察員,Ufasoft Snif等)
|
|||
|
Web安全工具,防火牆,日誌查看器和Web攻擊調查工具
|
了解網路安全工具,防火牆,日誌查看器和網路攻擊調查工具(例如,Acunetix
Web漏洞掃描程序,Falcove)的工作
Web漏洞掃描程序,Netsparker,N-Stalker Web應用程序安全掃描程序,Sandcat,Wikto,WebWatchBot,OWASP ZAP,dotDefender,IBM AppScan,ServerDefender,深度日誌分析器,WebLog Expert等)
|
|||
|
|
雲取證工具
|
使用雲取證工具(例如,UFED Cloud Analyzer,WhatChanged Portable,WebBrowserPassView等)
|
|
|
|
|
惡意軟件取證工具
|
使用惡意軟件分析工具(例如,VirusTotal,Windows自動運行,RegScanner,MJ Registry Watcher等)
|
|
|
|
|
電子郵件取證工具
|
使用電子郵件取證工具(例如,StellarPhoenix已刪除電子郵件恢復,恢復我的電子郵件,Outlook Express恢復,Zmeil,MS Outlook快速恢復,電子郵件偵探,電子郵件跟踪
-電子郵件跟踪,R-Mail,FINALeMAIL,eMailTrackerPro,Paraben的電子郵件檢查器,Paraben的網路電子郵件檢查器,DiskInternal的Outlook Express修復,Abuse.Net,MailDetective工具等)
|
|
|
|
移動取證軟件和硬件工具
|
使用移動取證軟件工具(例如Oxygen Forensic Suite
2011,MOBILedit!Forensic,BitPim,SIM Analyzer,SIMCon,SIM卡數據恢復,存儲卡數據恢復,設備扣押,Oxygen Phone Manager II等)
使用移動取證軟件工具
|
|||
|
報告撰寫工具
|
創建格式正確的電腦取證報告
|
