Computer Forensics Analysis Advanced (CFAD)

 

È destinato ai frequentatori del corso Computer Forensics Analysis e rappresenta la continuazione dello stesso. In particolare vengono descritte le attività avanzate di Investigazione Digitale, ricorrendo a numerosi casi pratici e simulazione di casi reali.

Obiettivi del corso
Partendo dalle diverse metodiche di generazione di Timeline temporali (testuali o grafiche), viene descritto il processo di analisi basato su footprint, correlando i risultati provenienti da molteplici sorgenti informative, quali log generati da device o software di sicurezza, con le informazioni provenienti dall'analisi dei media. Vengono inoltre descritte e applicate tecniche di advanced Data Carving mirate al recupero di dati cancellati o offuscati, applicate sia ai media che ai network dump. Una successiva sezione del corso prevede l'applicazione di differenti attività di indagine come la virtualizzazione delle evidence, l'analisi statica e dinamica di binari tramite decompilatori e debugger. Ad integrazione delle attività citate viene descritta la fase di analisi dei RAM Dump, descrivendo le operazioni di ricostruzione delle informazioni e le attività di keyword search mirate al recupero di credenziali o informazioni altrimenti crittografate su disco. Il corso si conclude con i processi di ricerca e analisi dei cosiddetti Windows Artifact, quali l'analisi delle browser cache, del recycle bin e dei log di sistema, sia per sistemi Windows che Unix. Il corso sarà effettuato con l'ausilio di PTK, l'alternativa grafica evoluta per la suite TSK.

 

Durata: 2 giorni