Компьютерная криминалистика и реагирование на инциденты в ОС Windows

Первый день посвящён CTI-ориентированному подходу в реагировании на инциденты. Участники узнают, как применять разведывательную информацию о киберугрозах, чтобы эффективнее проводить расследования. Далее слушатели перейдут к практике создания и анализа криминалистических копий накопителей информации и дампов оперативной памяти, а также подробно изучат артефакты хост-системы, включая метафайлы файловой системы NTFS и важнейшие системные файлы ОС Windows

На второй день участники глубоко погружаются в анализ журналов событий и системного реестра Windows для выявления признаков вторжения. Особое внимание уделяется исследованию артефактов популярных приложений и баз данных, а также работе с подозрительными документами, скриптами и вредоносными файлами для закрепления полученных знаний на практике

Третий день посвящён работе с оперативной памятью. Студенты научатся создавать и анализировать дампы памяти, выявлять в них признаки вредоносной активности и отслеживать действия пользователей. Для закрепления навыков предусмотрен самостоятельный разбор дампов оперативной памяти с целью обнаружения следов атак

На четвёртый день участники углубляются в методы поиска и анализа вредоносной активности, скрытой в энергозависимых данных. Они рассмотрят типичные тактики и техники вредоносного ПО, научатся работать с файлами гибернации, файлами подкачки, а также проведут практический анализ альтернативных источников цифровых артефактов

Заключительный день полностью посвящён самостоятельной работе с криминалистическим образом жесткого диска и дампом оперативной памяти. Слушателям предстоит проанализировать предоставленные материалы, извлечь ключевые артефакты и восстановить полную картину произошедшего инцидента. Полученные результаты будут сопоставлены с матрицей MITRE ATT&CK®. Завершится курс обсуждением итогов, демонстрацией эффективных методов анализа криминалистических артефактов при реагировании на инцидент