Си Ай Скул » Курсы » Информационная и сетевая безопасность » Этичный хакинг

CS-CEH3

Средний40 часов

Расследование хакерских инцидентов

Цель данного курса получить знания и навыки, необходимые для успешного расследования компьютерных инцидентов и устранения проблем безопасности, приводящих к инцидентам. Курс посвящен методикам расследования хакерских инцидентов. Описаны последовательности многочисленных тестов по выявлению фактов проникновения хакера в систему и предложены рекомендации по отслеживанию действий потенциального нарушителя

от 75 000₽

Для физ. лиц - 110 000₽

Для организаций - 110 000₽

Ближайшая группа

22.06.2026-26.06.2026

Формат

Гибридный

Длительность

40 часов

Часы занятий

10:00–17:00

Целевая аудитория

Cистемные администраторы безопасности, инженеры и аудиторы, работающие или предполагающие работать на средних и крупных предприятиях, вплоть до организаций корпоративного масштаба

Специалисты по компьютерной криминалистике

К основной целевой аудитории данного курса также относятся квалифицированные специалисты в области информационных технологий, включая администраторов предприятий, желающих улучшить свои знания и навыки в области безопасности компьютерных сетей

Кроме того, к дополнительной целевой аудитории также относятся квалифицированные специалисты, желающие понять суть расследования компьютерных инцидентов

Получаемые знания и навыки

По окончании курса слушатели научатся

расследовать инциденты, возникающие в результате выполнения хакерских техник
проводить анализ
трактовать собранные данные в контексте расследования компьютерного инцидента

Программа курса

Что такое компьютерная криминалистика и ее применение
Виды компьютерных преступлений
Разбор кейсов — примеры расследования компьютерных преступлений
Сложности криминалистической экспертизы
Расследование киберпреступлений (гражданское, уголовное, административное)
Правила судебно-медицинской экспертизы
Расследование преступлений, совершенных организованными преступными группами (Enterprise Theory of Investigation)
Цифровые улики и их типы
Характеристики цифровых улик
Роль цифровых улик
Источники потенциальных улик
Правила сбора доказательств
- Требование представления наилучших доказательств
- Кодекс доказательственного права
- Производные доказательства
Научная рабочая группа по цифровым уликам (SWGDE)
Готовность к криминалистическому расследованию
Компьютерная криминалистика как часть плана реагирования на инциденты
Необходимость компьютерной криминалистики
Роли и обязанности следователя судебной экспертизы
Проблемы криминалистического расследования
Правила этики
Ресурсы по компьютерной криминалистике

Важность процесса расследования
Фазы процесса расследования
Этап предварительного расследования
- Подготовка криминалистической лаборатории
- Построение следственной группы
- Обзор политик и законов
- Создание процессов обеспечения качества
- Знакомство со стандартами уничтожения данных
- Оценка риска
Этап расследования
- Процесс расследования
- Методология расследования: оперативное реагирование
- Методология расследования: досмотр и изъятие
- Проведение предварительных интервью
- Планирование досмотра и изъятия
- Ордер на обыск и изъятие
- Вопросы здоровья и безопасности
- Защита и оценка сцены преступления: контрольный список
Методология расследования: сбор улик
- Сбор вещественных доказательств
- Форма сбора вещественных доказательств
- Сбор и сохранение электронных улик
- Работа с включенными компьютерами
- Работа с выключенными компьютерами
- Работа с сетевым компьютером
- Работа с открытыми файлами и файлами автозагрузки
- Процедура выключения операционной системы
- Работа с рабочими станциями и серверами
- Работа с портативными компьютерами
- Работа с включенными портативными компьютерами
Методология расследования: защита улик
- Управление уликами
- Порядок передачи и хранения улик
- Упаковка и транспортировка электронных улик
- Нумерация вещественных доказательств
- Хранение электронных вещественных доказательств
Методология расследования: сбор данных
- Руководство по сбору данных
- Дублирование данных
- Проверка целостности образа
- Восстановление данных
Методология расследования: анализ данных
- Процесс анализа данных
- Программное обеспечение для анализа данных
Этап после расследования
Методология расследования: оценка улик
- Оценка найденных доказательств
- Приобщение улик к делу
- Обработка оценки месторасположения
- Сбор данных из социальных сетей
- Рекомендации по исследованию социальных сетей
- Рекомендации по оценке улик
Методология расследования: документация и отчетность
- Документация по каждой фазе расследования
- Сбор и упорядочивание информации
- Написание отчета об исследовании
Методология расследования: экспертное свидетельствование
- Выступление в качестве эксперта-свидетеля
- Закрытие дела
Профессиональное поведение

Обзор жестких дисков
Жесткие диски (HDD)
- Твердотельные накопители (SSD)
- Физическая структура жесткого диска
- Логическая структура жесткого диска
- Типы интерфейсов жестких дисков
- Интерфейсы жестких дисков
- Треки
- Секторы
- Кластеры
- Плохие секторы
- Бит, байт и полубайт
- Адресация данных на жестком диске
- Плотность данных на жестком диске
- Расчет емкости диска
- Измерение производительности жесткого диска
Разделы диска и процесс загрузки
- Дисковые разделы
- Блок параметров BIOS
- Главная загрузочная запись (MBR)
- Глобальный уникальный идентификатор (GUID)
- Что такое процесс загрузки?
- Основные системные файлы Windows
- Процесс загрузки Windows
- Идентификация таблицы разделов GUID
- Анализ заголовка и записей GPT
- Артефакты GPT
- Процесс загрузки Linux
Файловые системы
- Общие сведения о файловых системах
- Типы файловых систем
- Файловые системы Windows
- Файловые системы Linux
- Виртуальная файловая система (VFS)
Система хранения RAID
- Уровни RAID
- Защищенные области хоста (HPA)
Анализ файловой системы
- Выделение однородных массивов данных
- Анализ файла изображения (JPEG, BMP, шестнадцатеричный вид форматов файлов изображений)
- Анализ файла PDF
- Анализ файлов Word
- Анализ файлов PPT
- Анализ файлов Excel
- Шестнадцатеричный вид популярных форматов файлов (видео, аудио)
- Анализ файловой системы

Концепции сбора и дублирования данных, типы систем сбора данных
Получение данных в реальном времени
- Порядок волатильности
- Типичные ошибки при сборе изменчивых данных
- Методология сбора изменчивых данных
Получение статических данных
- Статические данные
- Эмпирические правила
- Дубликаты образов
- Побитовая копия и резервная копия
- Проблемы с копированием данных
- Шаги по сбору и дублированию данных
  - Подготовка формы передачи улик
  - Включение защиты от записи на носителях-уликах
  - Подготовка целевого носителя: руководство NIST SP 800-88
  - Определение формата сбора данных
  - Методы сбора данных
  - Определение лучшего метода сбора данных
  - Выбор инструмента для сбора данных
  - Сбор данных с RAID-дисков
  - Удаленное получение данных
  - Ошибки при сборе данных
  - Планирование нештатных ситуаций
Рекомендации по сбору данных

Что такое антифорензика и ее цели
Техники антифорензики
- Удаление данных / файлов, что происходит при удалении файла в Windows
- Восстановление файлов
  - Средства восстановления файлов в Windows
  - Восстановление файлов в Linux
  - Восстановление удаленных разделов
- Защита паролем
  - Типы паролей
  - Работа взломщика паролей
  - Техники взлома паролей
  - Пароли по умолчанию
  - Использование радужных таблиц для взлома хэшей
  - Аутентификация Microsoft
  - Взлом системных паролей
  - Обход паролей BIOS
  - Инструменты для сброса пароля администратора, паролей приложений, системных паролей
- Стеганография и стеганализ
- Скрытие данных в структурах файловой системы
- Обфускация следов
- Стирание артефактов
- Перезапись данных и метаданных
- Шифрование
  - Шифрующая файловая система (EFS)
  - Инструменты восстановления данных EFS
- Шифрованные сетевые протоколы
- Упаковщики
- Руткиты, шаги для их обнаружения
- Минимизация следов
- Эксплуатация ошибок криминалистических инструментов
- Детектирование криминалистических инструментов
Меры противодействия антифорензике
Инструменты, затрудняющие криминалистическую экспертизу

Введение в криминалистическую экспертизу ОС
Криминалистическая экспертиза Windows
Методология криминалистической экспертизы Windows
- Сбор энергозависимой информации (системное время, зарегистрированные пользователи, открытые файлы, информация о сети, сетевые подключения, информация о процессах, сопоставление процессов и портов, память процесса, состояние сети, файлы очереди печати и др.)
- Сбор энергонезависимой информации (файловые системы, настройки реестра, идентификаторы безопасности (SID), журналы событий, файл базы данных ESE, подключенные устройства, файлы гибернации, файл подкачки, скрытые альтернативные потоки и др.)
- Анализ памяти Windows (виртуальные жесткие диски (VHD), дамп памяти, механизм создания процесса, анализ содержимого памяти, анализ памяти процесса, извлечение образа процесса, сбор содержимого из памяти процесса)
- Анализ реестра Windows (устройство реестра, структура реестра, реестр как файл журнала, анализ реестра, системная информация, информация о часовом поясе, общие папки, беспроводные идентификаторы SSID, служба теневого копирования томов, загрузка системы, вход пользователя, активность пользователя, ключи реестра автозагрузки, USB-устройства, монтируемые устройства, отслеживание активности пользователей, ключи UserAssist)
- Кэш, Cookie и анализ истории (Mozilla Firefox, Google Chrome, Microsoft Edge и Internet Explorer)
- Анализ файлов Windows (точки восстановления системы, Prefetch-файлы, ярлыки, файлы изображений)
- Исследование метаданных (типы метаданных, метаданные в разных файловых системах, метаданные в файлах PDF, метаданные в документах Word, инструменты анализа метаданных)
- Журналы (типы событий входа в систему, формат файла журнала событий, организация записей событий, структура ELF_LOGFILE_HEADER, структура записи журнала, журналы событий Windows 10, криминалистический анализ журналов событий)
- Инструменты криминалистического анализа Windows
Криминалистическая экспертиза LINUX
- Команды оболочки
- Файлы журнала Linux
- Сбор энергозависимых данных
- Сбор энергонезависимых данных
- Область подкачки

Введение в сетевую криминалистику (анализ по журналам и в реальном времени, сетевые уязвимости, сетевые атаки, где искать доказательства)
Основные понятия ведения журналов (лог-файлы как доказательство, законы и нормативные акты, законность использования журналов, записи о регулярно проводимой деятельности в качестве доказательства)
Корреляция событий
- Типы корреляции событий
- Пререквизиты для корреляции событий
- Подходы к корреляции событий
- Обеспечение точности лог-файлов
- Записывать все
- Сохранение времени
- Цель синхронизации времени компьютеров
- Протокол сетевого времени (NTP)
- Использование нескольких датчиков
Управления журналами
- Функции инфраструктуры управления журналами
- Проблемы с управлением журналами
- Решение задач управления журналами
- Централизованное ведение журнала
- Протокол Syslog
- Обеспечение целостности системы
- Контроль доступа к журналам
- Цифровая подпись, шифрование и контрольные суммы
Анализ журналов
- Механизм сетевого криминалистического анализа
- Средства сбора и анализа журналов
- Анализ журналов маршрутизатора
- Сбор информации из таблицы ARP
- Анализ журналов брандмауэра, IDS, Honeypot, DHCP, ODBC
Исследование сетевого трафика
- Сбор улик посредством сниффинга
- Анализаторы сетевых пакетов
Документирование сетевых улик
Реконструкция улик

Концепции и типы вредоносного ПО
- Различные способы проникновения вредоносного ПО в систему
- Обычные методы, используемые злоумышленниками для распространения вредоносного ПО в интернете
- Компоненты вредоносного ПО
Криминалистическая экспертиза вредоносных программ
- Зачем анализировать вредоносное ПО
- Идентификация и извлечение вредоносных программ
- Лаборатория для анализа вредоносных программ
- Подготовка тестового стенда для анализа вредоносных программ
Инструменты для анализа вредоносных программ
Общие правила анализа вредоносных программ
Организационные вопросы анализа вредоносных программ
Типы анализа вредоносных программ
- Статический анализ
  - Статический анализ вредоносных программ: отпечатки файлов
  - Онлайн-службы анализа вредоносных программ
  - Локальное и сетевое сканирование вредоносных программ
  - Выполнение поиска строк
  - Определение методов упаковки / обфускации
  - Поиск информации о переносимых исполняемых файлах (PE)
  - Определение зависимостей файлов
  - Дизассемблирование вредоносных программ
  - Средства анализа вредоносных программ
- Динамический анализ
- Мониторинг процессов, файлов и папок, реестра, активности сети, портов, DNS, вызовов API, драйверов устройств, программ автозагрузки, служб Windows
- Анализ вредоносных документов
Проблемы анализа вредоносных программ

Подготовка отчета об исследовании
- Классификация отчетов
- Руководство по написанию отчета
- Рекомендации по написанию отчета
Показания эксперта-свидетеля
- Кто такой эксперт-свидетель и его роль
- Технический свидетель и эксперт-свидетель
- Стандарт Дьюберта
- Стандарт Фрайе
- Правила хорошего эксперта-свидетеля
- Важность резюме
- Профессиональный кодекс свидетеля-эксперта
- Подготовка к даче свидетельских показаний
Свидетельство в суде
- Общий порядок судебных разбирательств
- Общая этика при свидетельстве
- Значение графики в показаниях
- Как избежать проблем с показаниями
- Свидетельствование во время прямой экспертизы
- Свидетельствование во время перекрестного допроса
- Показания, приобщенные к материалам дела
Работа со СМИ

Стоимость и условия оплаты

от 75 000₽

Для физ. лиц - 110 000₽

Для организаций - 110 000₽

Записаться на курс можно

По телефону

+7(495)648-35-00

По email

manager@cischool.ru

Через наш

Telegram-чат

Расписание курсов

ГорящийСреднийГибридный40 часов

CS-CEH3