دانلود کتاب آموزشی GCFA (GIAC Certified Forensic Analyst) جلد اول

دوره آموزشی GCFA (GIAC Certified Forensic Analyst) به‌طور ویژه به تحلیل جرم‌شناسی قانونی و پاسخ به حوادث امنیتی متمرکز است. این گواهینامه برای کسانی طراحی شده است که در حوزه تحلیل جرم‌شناسی دیجیتال و مدیریت حوادث سایبری فعالیت دارند و می‌خواهند توانایی‌های خود را در زمینه کشف، تجزیه‌وتحلیل، و مستندسازی حوادث امنیتی ارتقا دهند.

بخش 1. مبانی جرم‌شناسی قانونی دیجیتال

فصل 1. تعریف و هدف از جرم‌شناسی دیجیتال

• تعریف Digital Forensics و تفاوت آن با Cybersecurity

• تاریخچه و تکامل جرم‌شناسی دیجیتال

• حوزه‌های اصلی جرم‌شناسی دیجیتال (Disk Forensics، Network Forensics، Memory Forensics، Cloud Forensics)

فصل 2. چرخه کامل فرآیند جرم‌شناسی دیجیتال

• شناسایی (Identification)

• حفظ (Preservation)

• جمع‌آوری (Collection)

• بررسی و تحلیل (Examination and Analysis)

• مستندسازی و گزارش‌دهی (Documentation and Reporting)

• ارائه در مراجع قانونی (Presentation)

فصل 3. انواع شواهد دیجیتال

• شواهد فیزیکی (Physical Evidence): هارد دیسک، حافظه فلش، موبایل

• شواهد منطقی (Logical Evidence): فایل‌ها، لاگ‌ها، متادیتا

• شواهد ناپایدار (Volatile Evidence): RAM، Session data

• دسته‌بندی بر اساس محل ذخیره‌سازی (محلی، شبکه‌ای، ابری)

فصل 4. اصول قانونی و اخلاقی در جرم‌شناسی دیجیتال

• مسئولیت‌ها و تعهدات اخلاقی تحلیلگر

• حفظ محرمانگی اطلاعات (Confidentiality)

• مسائل مرتبط با رضایت کاربران و حریم خصوصی

• بررسی مقررات منطقه‌ای (مثلاً GDPR، HIPAA، قانون جرایم رایانه‌ای ایران)

فصل 5. زنجیره اصالت شواهد (Chain of Custody)

• تعریف Chain of Custody و نقش آن در دادگاه

• نحوه مستندسازی دقیق زمان، مکان، نحوه و شخصی که شواهد را جابه‌جا کرده

• ابزارها و فرم‌های Chain of Custody

• حفظ شواهد بدون تغییر و جلوگیری از فساد داده‌ها

فصل 6. استانداردها و چارچوب‌های مرجع

• معرفی استانداردهای بین‌المللی:

  • NIST 800-86 (Guide to Integrating Forensic Techniques)

  • ISO/IEC 27037 (Guidelines for Evidence Collection)

  • SANS IR Framework

• تفاوت روش‌های Forensic Sound با روش‌های عادی تحلیل اطلاعات

فصل 7. ابزارها و تکنیک‌های ابتدایی

• ابزارهای پایه تصویربرداری و جمع‌آوری اطلاعات:

  • dd, dcfldd, FTK Imager

• بررسی هَش‌ها و تضمین اصالت فایل‌ها:

  • md5sum, sha256sum, hashdeep

• نگهداری امن فایل‌های Image شده

• استفاده از Write Blocker سخت‌افزاری و نرم‌افزاری

فصل 8. معرفی نقش‌ها و مسئولیت‌ها در تیم جرم‌شناسی دیجیتال

• Digital Forensics Analyst

• Incident Responder

• Legal Advisor

• Expert Witness

• Chain of Custody Officer

بخش 2. تجزیه و تحلیل سیستم‌های ویندوز

فصل 1. ساختار فایل سیستم ویندوز (NTFS)

• بررسی MFT (Master File Table) و تحلیل رکوردها

• تحلیل USN Journal برای کشف تغییرات فایل‌ها

• بررسی $LogFile و $Recycle.Bin برای شناسایی حذف فایل‌ها

فصل 2. تحلیل لاگ‌های ویندوز

• مرور انواع Event Logها:

  • Security, System, Application, Setup

• تحلیل Event IDهای مهم (مانند 4624، 4625، 4688، 1102)

• بررسی Sysmon Logs برای شناسایی رفتارهای مشکوک

• استفاده از ابزارهای:

  • Event Viewer

  • Log Parser Studio

  • Chainsaw

فصل 3. تحلیل Prefetch و فایل‌های اجرایی اخیر

• مفهوم Prefetch و نحوه فعال‌سازی در سیستم

• استخراج اطلاعات زمان اجرای فایل‌ها و مسیر اجرا

• تحلیل فایل‌های .pf با ابزارهایی مانند PECmd

فصل 4. تحلیل رجیستری ویندوز

• بررسی Hives مهم: NTUSER.DAT, SYSTEM, SOFTWARE

• کلیدهای حیاتی برای تحلیل:

  • Run/RunOnce

  • RecentDocs

  • TypedURLs

  • USBSTOR برای شناسایی دستگاه‌های متصل‌شده

• ابزارها:

  • RegRipper، RECmd، Registry Explorer

فصل 5. بررسی فایل‌های Link (Shortcut) و Jump Lists

• تحلیل فایل‌های .lnk برای کشف مسیر و زمان اجرای فایل‌ها

• استخراج Jump Lists و تشخیص فعالیت‌های کاربر

• ابزار تحلیل: JumpLister، LECmd

فصل 6. تحلیل داده‌های Cache و Shadow Copies

• تحلیل Windows Thumbnail Cache

• بررسی Shadow Copies با ابزارهای VSSAdmin و ShadowExplorer

• بازیابی فایل‌های قدیمی و تغییر یافته

فصل 7. تحلیل حساب‌های کاربری و فعالیت‌های لاگین

• بررسی SAM و SYSTEM برای استخراج اطلاعات کاربران

• بررسی فایل‌های AmCache و UserAssist

• تحلیل زمان ورود و خروج کاربران

• شناسایی حساب‌های مشکوک و دسترسی غیرمجاز

فصل 8. تحلیل فرآیندها و حافظه

• شناسایی فرآیندهای مشکوک از Tasklist و WMIC

• Snapshotگیری از حافظه با DumpIt یا Belkasoft RAM Capturer

• تحلیل حافظه با Volatility و Rekall برای یافتن شواهد فرار (Fileless Attacks)

فصل 9. بررسی شبکه و ارتباطات

• استخراج آدرس‌های IP متصل‌شده از لاگ‌ها و حافظه

• بررسی Netstat، Firewall logs و DNS Cache

• شناسایی ابزارهای RDP، SMB و Remote Access غیرمجاز

فصل 10. ابزارهای کمکی برای تحلیل سیستم ویندوز

• Autopsy و Sleuth Kit برای مرور Imageها

• X-Ways Forensics برای تحلیل عمیق NTFS

• F-Response برای دسترسی زنده به سیستم هدف

• KAPE برای استخراج سریع Artifactها

بخش 3. تحلیل سیستم‌های لینوکس و یونیکس

فصل 1. آشنایی با ساختار سیستم فایل لینوکس و یونیکس

• بررسی ساختارهای اصلی فایل‌سیستم‌های ext3، ext4، XFS و Btrfs

• تفاوت در نگهداری داده‌ها، inodeها، journal و metadata

• بررسی مسیرهای مهم و حساس:

  • /etc, /var/log, /home, /tmp, /root, /proc, /dev

فصل 2. تحلیل وقایع از طریق لاگ‌های سیستم

• تجزیه و تحلیل لاگ‌های کرنل، سیستم و سرویس‌ها:

  • /var/log/syslog, /var/log/messages, /var/log/auth.log, /var/log/secure

• بررسی دقیق journalctl در سیستم‌های مبتنی بر systemd

• استخراج تایم‌لاین وقایع از فایل‌های لاگ

• شناسایی تلاش‌های ورود مشکوک، Sudo Failures و SSH Attack

فصل 3. تحلیل فرآیندهای سیستم و سرویس‌ها

• استفاده از ابزارهای:

  • ps, top, htop, lsof, netstat, ss, pstree

• بررسی PID، Parent PID، Command Line Arguments

• شناسایی Process Injection یا فرآیندهای ناشناخته

• تحلیل رفتار سرویس‌های مشکوک (systemd, crontab, rc.local)

فصل 4. تحلیل فعالیت‌های کاربر

• بررسی فایل‌های shell history کاربران:

  • .bash_history, .zsh_history, .sh_history

• بررسی فایل‌های کاربر در مسیرهای خانگی (~)

• استخراج زمان‌های ورود کاربران:

  • last, w, who, utmp, btmp, wtmp

فصل 5. بررسی تغییرات مشکوک در فایل‌ها و مجوزها

• استفاده از ابزار stat و lsattr برای تحلیل تغییرات فایل

• بررسی زمان‌های MAC (Modified, Accessed, Changed)

• بررسی مجوزهای مشکوک یا SUID/SGID باینری‌ها

• شناسایی فایل‌های پنهان یا تغییر داده شده با ابزارهایی مثل find, diff

فصل 6. تحلیل اتصالات شبکه و شنودگرها

• لیست‌گیری از پورت‌های باز و سرویس‌های گوش‌دهنده:

  • netstat, ss, lsof -i, tcpdump

• شناسایی اتصالات مشکوک و بررسی مسیر آنها

• بررسی logهای iptables یا firewall

• تحلیل فایل‌های پیکربندی شبکه: /etc/hosts, /etc/resolv.conf, /etc/network/

فصل 7. تحلیل فعالیت کرون و اتوماسیون‌های سیستم

• بررسی crontab کاربران و سیستم:

  • crontab -l, /etc/crontab, /etc/cron.*

• شناسایی اسکریپت‌ها یا اجرای دوره‌ای فایل‌های مشکوک

• تحلیل systemd-timers و at jobs

فصل 8. شناسایی rootkit، backdoor و ابزارهای مخرب لینوکسی

• استفاده از ابزارهای ضد rootkit:

  • chkrootkit, rkhunter, lynis

• تحلیل ابزارهای مانیتورینگ تقلبی یا جعلی

• شناسایی باینری‌های تغییر یافته (مانند ps, ls, netstat)

• بررسی مسیرهای معمول ذخیره بدافزار در /tmp, /var/tmp, /dev/shm

فصل 9. تهیه Image و شواهد قانونی از سیستم‌های لینوکس

• استفاده از ابزار dd, dcfldd, guymager برای گرفتن ایمیج خام

• تهیه Snapshot از دایرکتوری‌های حساس

• محاسبه و ذخیره hashها برای بررسی صحت داده‌ها

• ذخیره کامل لاگ‌ها و اطلاعات RAM برای تحلیل بعدی

فصل 10. ابزارهای تحلیل لینوکس در جرم‌شناسی

• معرفی و استفاده از ابزارهای زیر:

  • Sleuth Kit برای تحلیل فایل سیستم

  • Log2Timeline (Plaso) برای ساخت timeline دیجیتال

  • Autopsy برای تحلیل گرافیکی اطلاعات

  • Volatility برای بررسی حافظه

  • Auditd برای بررسی لاگ‌های امنیتی سطح کرنل

بخش 4. تحلیل جرم‌شناسی ابزارهای ابری و مجازی

فصل 1. مفاهیم پایه جرم‌شناسی در محیط‌های ابری و مجازی

• تفاوت‌های جرم‌شناسی در محیط فیزیکی، مجازی و ابری

• چالش‌های قانونی و فنی در جمع‌آوری شواهد از سرویس‌های Cloud

• مدل‌های مسئولیت مشترک (Shared Responsibility) در IaaS، PaaS، SaaS

• الزامات قانونی مربوط به نگهداری شواهد در فضای Cloud

فصل 2. جمع‌آوری شواهد در محیط‌های ابری

• جمع‌آوری داده‌ها از AWS:

  • استفاده از CloudTrail، CloudWatch Logs، S3 Access Logs

  • Snapshot از EC2 Instances و تحلیل دیسک

• جمع‌آوری داده‌ها از Microsoft Azure:

  • Azure Monitor، Log Analytics، Security Center

  • بازیابی و بررسی VHD از ماشین‌های مجازی

• جمع‌آوری داده‌ها از Google Cloud Platform:

  • Cloud Audit Logs، GCP Logging، Cloud Storage Logs

• بررسی Object Storage (مانند S3، Azure Blob، GCS) و شناسایی دسترسی‌های غیرمجاز

• جمع‌آوری داده‌های IAM (Identity & Access Management)

فصل 3. بررسی و تحلیل ماشین‌های مجازی (Virtual Machines)

• استخراج Snapshot و Image از ماشین‌های مجازی (VMware، Hyper-V، KVM)

• تحلیل فرمت‌های VMDK، VHD، QCOW2 با ابزارهای مانند FTK Imager، Mount Image Pro

• بررسی تغییرات در دیسک مجازی و شناسایی اثر حملات

• تحلیل لاگ‌های هایپروایزر و اطلاعات مرتبط با فعالیت کاربران یا مهاجمین

فصل 4. تحلیل لاگ‌های زیرساخت مجازی و ابری

• بررسی لاگ‌های مربوط به مدیریت ماشین‌ها و دسترسی‌های RDP/SSH

• تحلیل لاگ‌های VPN، WAF، Cloud Firewall

• بررسی فعالیت‌های شبکه و ارتباط بین سرویس‌ها (VPC Flow Logs، NSG Logs)

• استخراج IOCها از لاگ‌های ابری و تلفیق با SIEM (مثل Splunk، QRadar)

فصل 5. استفاده از ابزارهای جرم‌شناسی در محیط‌های ابری

• ابزارهای جمع‌آوری داده از سرویس‌های Cloud:

  • AWS CLI، Azure CLI، GCP SDK

  • Osquery، CloudQuery برای بررسی وضعیت منابع

• ابزارهای جرم‌شناسی متن‌باز:

  • Velociraptor، GRR Rapid Response در محیط Cloud

• ادغام ابزارهای سنتی جرم‌شناسی با داده‌های ابری (مثلاً استفاده از Autopsy روی Snapshot EC2)

• استفاده از APIهای رسمی Cloud برای بازیابی شواهد

فصل 6. امنیت و حفظ زنجیره اصالت در جمع‌آوری داده‌های ابری

• روش‌های مستندسازی و اثبات اعتبار داده‌ها (Hashing، Logging)

• نکات حیاتی در حفظ Chain of Custody در محیط‌های ابری

• مدیریت داده‌های چند اجاره‌ای (Multi-Tenancy) و رعایت اصول حریم خصوصی

• ردیابی و شناسایی مهاجمان در محیط‌های توزیع‌شده Cloud-Native

بخش 5. استخراج داده‌های ذخیره‌شده (Data Carving)

فصل 1. مفاهیم پایه‌ای در Data Carving

• تعریف Data Carving و تفاوت آن با Data Recovery

• کاربردهای عملی Data Carving در جرم‌شناسی قانونی

• شرایطی که نیاز به Carving دارد (فایل پاک‌شده، پارتیشن خراب، فایل‌سیستم حذف‌شده)

فصل 2. شناخت ساختار فایل‌ها و Signatureها

• مفهوم فایل Signature (Header/Footer)

• جدول Magic Numbers برای شناسایی فایل‌ها

• ساختار فایل‌های پرکاربرد: JPEG, PNG, PDF, ZIP, DOCX, PST, MP4, ELF, PE

• بررسی Fragmentation و تأثیر آن بر موفقیت Data Carving

فصل 3. ابزارهای استخراج داده‌های خام (Raw Carving Tools)

• PhotoRec:

  • نحوه استفاده، پیکربندی و خروجی‌ها

  • سفارشی‌سازی نوع فایل‌ها و مسیر خروجی

• Foremost:

  • بررسی فایل کانفیگ foremost.conf

  • اجرای دقیق و ذخیره نتایج تفکیک‌شده بر اساس نوع فایل

• Scalpel:

  • تعریف فایل signature سفارشی

  • افزایش دقت با استفاده از context-based Carving

فصل 4. استخراج دستی فایل‌ها با استفاده از Hex Editor

• کار با ابزارهایی مانند HxD یا 010 Editor

• جستجوی فایل Signatureها در RAW Image

• تعیین offset شروع و پایان فایل‌ها

• بازسازی فایل با Cut/Copy از Image فایل

فصل 5. تحلیل و بررسی پارتیشن‌ها و فضای آزاد

• استفاده از ابزارهای تحلیل دیسک (مثل mmls, fsstat, fls)

• بررسی فضای Unallocated برای کشف فایل‌های مخفی یا حذف‌شده

• بازیابی فایل از فضای Slack

فصل 6. بررسی ساختار فایل‌سیستم‌های خراب یا ناشناخته

• استفاده از Sleuth Kit برای تحلیل فایل‌سیستم آسیب‌دیده

• کاربرد ابزار Autopsy در استخراج فایل‌های خراب‌شده

• مقایسه بین File System-aware recovery و Carving-based recovery

فصل 7. شناسایی و استخراج Artefactهای مهم از داده‌های Carved

• استخراج تصاویر، ایمیل‌ها، فایل‌های کش، و اسناد Word یا PDF

• بررسی فایل‌های بازیابی‌شده برای تعیین ارزش جرم‌شناسی

• تعیین ارتباط زمانی (Timeline Correlation) بین داده‌های Carved

فصل 8. محدودیت‌ها، خطاها و بهترین شیوه‌ها در Data Carving

• بررسی False Positive در فایل‌های Carved

• تحلیل کیفیت و صحت بازیابی فایل‌ها

• تکنیک‌های جلوگیری از Over-Carving و استخراج تکراری فایل‌ها

• توصیه‌های عملی برای مستندسازی فایل‌های Carved