دانلود کتاب آموزشی GCFE (GIAC Certified Forensic Examiner) جلد اول

دوره آموزشی GCFE (GIAC Certified Forensic Examiner): جرم‌شناسی قانونی سیستم‌های ویندوز، یک دوره تخصصی در زمینه جرم‌شناسی دیجیتال است که به متخصصان کمک می‌کند تا مهارت‌های لازم برای انجام تحقیقات قانونی در سیستم‌های ویندوز را کسب کنند. این دوره شامل مباحث مختلفی است که به آنالیز و بررسی سیستم‌های ویندوزی در راستای شناسایی و شواهد دیجیتال کمک می‌کند. در ادامه، سر فصل‌های این دوره آورده شده است:

بخش 1. مقدمه‌ای بر جرم‌شناسی دیجیتال

فصل 1. آشنایی با جرم‌شناسی دیجیتال

• تعریف دقیق جرم‌شناسی دیجیتال (Digital Forensics)

• تاریخچه و سیر تحول جرم‌شناسی دیجیتال

• تفاوت جرم‌شناسی دیجیتال با واکنش به حادثه (Incident Response)

• شاخه‌های مختلف جرم‌شناسی دیجیتال (کامپیوتر، موبایل، شبکه، حافظه، Cloud)

فصل 2. اهمیت جرم‌شناسی دیجیتال در دنیای امروز

• نقش جرم‌شناسی دیجیتال در کشف جرایم سایبری

• اهمیت جرم‌شناسی در اثبات جرم در محاکم قضایی

• کاربردهای عملی جرم‌شناسی دیجیتال در سازمان‌ها، پلیس و بخش خصوصی

• تاثیر پیشرفت تکنولوژی بر چالش‌های جرم‌شناسی

فصل 3. فرآیند استاندارد تحقیقات جرم‌شناسی دیجیتال

• مراحل کلی یک تحقیق جرم‌شناسی:

  • شناسایی حادثه (Identification)

  • نگهداری و محافظت از داده‌ها (Preservation)

  • جمع‌آوری داده‌ها (Collection)

  • تحلیل داده‌ها (Examination and Analysis)

  • مستندسازی و ارائه گزارش (Documentation and Reporting)

• اهمیت حفظ Chain of Custody در طول فرآیند

• نمونه‌های واقعی از اجرای فرآیند جرم‌شناسی دیجیتال

فصل 4. انواع شواهد دیجیتال

• شواهد سخت‌افزاری: دیسک سخت، RAM، دستگاه‌های ذخیره‌سازی جانبی

• شواهد نرم‌افزاری: فایل‌های سیستمی، لاگ‌ها، رجیستری

• شواهد شبکه‌ای: پکت‌ها، ارتباطات TCP/IP، ترافیک شبکه

• شواهد اینترنتی: کش مرورگر، هیستوری وب، ایمیل‌ها و شبکه‌های اجتماعی

• شواهد ابری (Cloud Forensics) و چالش‌های مربوطه

فصل 5. اصول اخلاقی و حقوقی در جرم‌شناسی دیجیتال

• اهمیت رعایت اصول اخلاقی در انجام تحقیقات

• قوانین مربوط به حفظ حریم خصوصی داده‌ها (مانند GDPR، قوانین محلی)

• مسئولیت‌های قانونی تحلیلگر جرم‌شناسی دیجیتال

• مجوزهای قانونی برای دسترسی و تجزیه و تحلیل داده‌ها

• چالش‌های حقوقی در مواجهه با داده‌های رمزگذاری‌شده یا خصوصی

فصل 6. چالش‌های رایج در جرم‌شناسی دیجیتال

• حجم بالای داده‌ها و مدیریت Big Data در جرم‌شناسی

• مقابله با تکنیک‌های ضد جرم‌شناسی (Anti-Forensics)

• تغییرات سریع تکنولوژی و نیاز به به‌روزرسانی مداوم ابزارها

• مشکلات قانونی مرتبط با داده‌های چندمنظوره و بین‌المللی

فصل 7. نگاهی به گواهینامه‌های معتبر جرم‌شناسی دیجیتال

• معرفی گواهینامه‌های مهم مانند:

  • GCFE (GIAC Certified Forensic Examiner)

  • GCFA (GIAC Certified Forensic Analyst)

  • EnCE (EnCase Certified Examiner)

  • CCE (Certified Computer Examiner)

• اهمیت اعتبار بین‌المللی گواهینامه‌ها برای متخصصین جرم‌شناسی

بخش 2. ساختار و فایل‌های سیستم ویندوز

فصل 1. آشنایی با معماری سیستم‌عامل ویندوز

• معرفی اجزای اصلی ویندوز: Kernel Mode و User Mode

• بررسی ساختار درختی فایل‌ها و مسیرهای اصلی (C:\Windows, C:\Users\ و غیره)

• معرفی سیستم فایل NTFS و ساختار کلی آن

فصل ۲. بررسی سیستم فایل‌های ویندوز

• مفاهیم پایه سیستم‌های فایل NTFS، FAT32 و exFAT

• بررسی ساختار MFT (Master File Table) در NTFS

• درک مفاهیم Clusters، Sectors، Slack Space و Unallocated Space

• ساختار داده‌ها در فایل‌های بزرگ و فایل‌های ریز (Resident vs. Non-resident files)

فصل ۳. فایل‌های حیاتی و سیستمی ویندوز

• معرفی و تحلیل فایل‌های مهم:

  • NTUSER.DAT

  • SYSTEM, SOFTWARE, SAM, SECURITY

  • pagefile.sys, hiberfil.sys

  • swapfile.sys

• نقش این فایل‌ها در جمع‌آوری شواهد و تحلیل فعالیت‌های کاربر

فصل ۴. ساختار پوشه‌های مهم ویندوز

• بررسی پوشه‌های سیستمی و کاربرد آن‌ها:

  • C:\Windows\System32

  • C:\ProgramData

  • C:\Users\[Username]\AppData\Local\Temp

  • C:\Windows\Prefetch

  • C:\Windows\Temp

• تحلیل اطلاعات موقت و شواهد موجود در این پوشه‌ها

فصل ۵. متادیتای فایل‌ها و اهمیت آن در جرم‌شناسی

• مفهوم Timestamps در ویندوز:

  • Creation Time

  • Last Access Time

  • Last Modified Time

  • MFT Changed Time

• بررسی Artifactهای مربوط به تغییرات فایل‌ها و پوشه‌ها

• تحلیل Anti-Forensics Techniques (مانند Timestomping)

فصل ۶. Prefetch Files و اهمیت آن در تحقیقات قانونی

• نقش فایل‌های Prefetch در شناسایی اجرای برنامه‌ها

• ساختار فایل Prefetch (.pf) و اطلاعات استخراجی از آن

• ابزارهای تحلیل Prefetch: WinPrefetchView، PECmd

فصل ۷. تحلیل Shortcut Files (.lnk) و شواهد فعالیت کاربران

• ساختار فایل‌های Shortcut در ویندوز

• اطلاعات موجود در فایل‌های .lnk (مسیر اصلی فایل، زمان دسترسی و غیره)

• استخراج و تحلیل اطلاعات از فایل‌های LNK با ابزارهایی مانند LECmd

فصل ۸. بررسی Volume Shadow Copy

• تعریف VSS (Volume Shadow Services) و عملکرد آن

• اهمیت Shadow Copies در بازیابی نسخه‌های قدیمی فایل‌ها

• ابزارهای استخراج داده از VSS: vshadow.exe، ShadowExplorer

فصل ۹. بررسی Recycle Bin و تحلیل فایل‌های حذف شده

• ساختار داخلی پوشه Recycle Bin در نسخه‌های مختلف ویندوز

• فرمت $I و $R فایل‌ها در سطل بازیافت

• تحلیل شواهد حذف فایل‌ها از Recycle Bin با ابزارهای مثل Rifiuti2

فصل ۱۰. تحلیل فایل‌های سیستم برای فعالیت‌های مشکوک

• بررسی فایل‌های AutoStart و Persistence (مانند Run Keys، Startup Folder)

• تحلیل DLL Hijacking و فعالیت‌های غیرمجاز

• شناسایی فایل‌های Dropper و Executableهای مشکوک در سیستم

بخش 3. جمع‌آوری و تحلیل شواهد از سیستم ویندوز

فصل 1. اصول جمع‌آوری شواهد از سیستم ویندوز

• اهمیت حفظ اعتبار شواهد: چرا باید شواهد بدون تغییر یا آسیب به اطلاعات اصلی جمع‌آوری شوند؟

• بررسی Chain of Custody: چگونه باید شواهد دیجیتال را از زمان جمع‌آوری تا ارائه در دادگاه مستندسازی کرد؟

• اصول Acquiring Evidence: روش‌ها و تکنیک‌های مناسب برای جمع‌آوری شواهد، از جمله تصویر برداری (Imaging) و استفاده از ابزارهای Forensic

• تفاوت میان جمع‌آوری شواهد در سیستم‌های آنلاین و آفلاین: نکات مربوط به سیستم‌هایی که در حال اجرا هستند (Live Systems) و سیستم‌هایی که خاموش هستند (Dead Systems)

فصل ۲. ابزارهای جمع‌آوری شواهد دیجیتال

• ابزارهای رایج برای جمع‌آوری شواهد: معرفی ابزارهایی مانند FTK Imager، EnCase، X1، Autopsy و Sleuth Kit

• ابزارهای مخصوص جمع‌آوری شواهد از حافظه (RAM): مانند Belkasoft RAM Capturer

• ابزارهای بازیابی اطلاعات از فایل‌های حذف‌شده: FTK, R-Studio، Recuva

فصل ۳. جمع‌آوری شواهد از فایل‌های سیستم

• تحلیل فایل‌های سیستمی: بررسی ساختار فایل‌ها و شواهد موجود در سیستم‌ فایل‌های NTFS و FAT32

• داده‌های پنهان و متا دیتا: شناسایی و جمع‌آوری داده‌های پنهان (Hidden Files) و تحلیل متادیتا برای شواهد اضافی

• حافظه کش مرورگر (Browser Cache): بررسی کش مرورگرها برای پیدا کردن شواهد مرور وب، جستجوهای اینترنتی و فعالیت‌های آنلاین

فصل ۴. جمع‌آوری و تحلیل فایل‌های موقتی و ایستگاه کاری

• فایل‌های موقتی (Temporary Files): تحلیل فایل‌های موقتی، کش و تاریخچه برنامه‌های باز شده

• تحلیل Prefetch Files: بررسی Prefetch برای شواهد اجرای برنامه‌ها و شناسایی نرم‌افزارهای اجرا شده

• تحلیل Event Logs: استفاده از Windows Event Viewer برای شناسایی شواهد فعالیت‌های مختلف در سیستم

فصل ۵. جمع‌آوری شواهد از نرم‌افزارهای خاص و ابزارهای دیجیتال

• تحلیل داده‌ها از برنامه‌ها و ابزارهای خاص: جمع‌آوری شواهد از نرم‌افزارهایی مانند Microsoft Office، Adobe Acrobat و مرورگرهای وب

• نرم‌افزارهای شخص ثالث: بررسی نرم‌افزارهایی که ممکن است اطلاعات اضافی یا شواهد قابل توجهی داشته باشند

• استخراج شواهد از نرم‌افزارهای پیام‌رسان و شبکه‌های اجتماعی: بررسی تاریخچه پیام‌ها، فایل‌های ارسال‌شده و اطلاعات وارد شده در این نرم‌افزارها

فصل ۶. بررسی لاگ‌ها و ایونت‌ها (Log Files & Event Logs)

• جمع‌آوری Windows Event Logs: شناسایی رویدادهای مهم و مشکوک در سیستم‌عامل ویندوز

• تحلیل Log Files: بررسی سیستم‌لاگ‌ها و ایونت‌های امنیتی برای شواهد فعالیت‌های مشکوک

• استفاده از Logparser و Chain of Custody برای تجزیه و تحلیل اطلاعات: استخراج اطلاعات مهم از فایل‌های لاگ و نحوه گزارش‌دهی آن‌ها

فصل ۷. روش‌های جمع‌آوری شواهد از سیستم‌های آنلاین (Live Systems)

• دستورات Command-Line برای جمع‌آوری شواهد: استفاده از دستورات Command Line در سیستم‌های زنده برای شناسایی شواهد و فعالیت‌ها

• ابزارهای آنلاین برای Capture شواهد: نحوه استفاده از ابزارهایی مثل Sysinternals Suite برای تجزیه و تحلیل سیستم در زمان واقعی

• بررسی اتصال به شبکه و برنامه‌های فعال: استفاده از ابزارهایی مانند Netstat و Process Explorer برای بررسی برنامه‌های در حال اجرا و ارتباطات شبکه‌ای

فصل ۸. جلوگیری از تغییر داده‌ها حین جمع‌آوری

• استفاده از Write Blockers: بررسی نحوه استفاده از ابزارهای Write Blocker برای جلوگیری از تغییر داده‌ها هنگام کار با دیسک‌ها

• تهیه ایمیج دقیق (Bitstream Image): اصول و روش‌های تهیه یک ایمیج دقیقی از سیستم‌های ویندوز بدون تغییر داده‌ها

• ضمانت کیفیت و صحت شواهد: بررسی روش‌های تضمین صحت و کیفیت شواهد جمع‌آوری‌شده در طول فرآیند

فصل ۹. جمع‌آوری شواهد از سیستم‌های خاموش (Dead Systems)

• آماده‌سازی برای آنالیز سیستم‌های خاموش: روش‌های شناسایی و جمع‌آوری شواهد از سیستم‌هایی که در حالت خاموش هستند

• آنالیز حافظه و درایوها: نحوه استخراج و بازیابی اطلاعات از دیسک‌ها و حافظه‌های غیر فعال

• استفاده از Bootable Forensic Tools: بررسی ابزارهایی که برای بوت سیستم و جمع‌آوری شواهد از سیستم‌های غیر فعال استفاده می‌شوند

فصل ۱۰. ذخیره‌سازی و انتقال شواهد

• نکات مهم در ذخیره‌سازی شواهد: استفاده از رسانه‌های ذخیره‌سازی امن و انجام ثبت اطلاعات در مورد فرآیند جمع‌آوری

• انتقال شواهد به محیط‌های قانونی: چگونگی انتقال شواهد به محیط‌های آزمایشگاهی یا قضائی بدون آسیب رساندن به آن‌ها

• تهیه مستندات دقیق و گواهی‌نامه‌های رسمی: اصول مستندسازی اطلاعات جمع‌آوری‌شده و تهیه مدارک برای استفاده در محاکم

بخش 4. تحلیل رجیستری ویندوز (Windows Registry Analysis)

فصل 1. آشنایی با ساختار رجیستری ویندوز

• معرفی رجیستری ویندوز: توضیح مبانی رجیستری و نحوه ذخیره‌سازی داده‌ها در آن.

• Hives: آشنایی با ساختار Hives (مانند SOFTWARE، SYSTEM، SECURITY، SAM، USER) و نحوه مدیریت آن‌ها.

• Keys و Values: توضیح تفاوت بین Keys، Values و Data Types در رجیستری ویندوز.

• Regedit و Reg.exe: استفاده از ابزارهای داخلی ویندوز برای مشاهده و ویرایش رجیستری.

• رجیستری به عنوان یک پایگاه داده: نحوه ذخیره‌سازی و دسترسی به داده‌ها.

فصل ۲. تحلیل فعالیت‌های کاربران و برنامه‌ها

• شواهد لاگین کاربران: شناسایی و تحلیل کلیدهای رجیستری مربوط به فعالیت‌های کاربری (مانند HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run).

• مدیریت دسترسی‌ها و گروه‌های کاربری: تحلیل اطلاعات مربوط به گروه‌ها و کاربران فعال در سیستم.

• شواهد نرم‌افزارهای نصب‌شده: بررسی رجیستری برای شواهد نصب نرم‌افزار و تاریخچه آن‌ها.

• Application Compatibility: استفاده از رجیستری برای بررسی نحوه سازگاری نرم‌افزارها با سیستم‌عامل.

فصل ۳. استخراج شواهد از کلیدهای رجیستری حساس

• شواهد مربوط به تاریخچه فایل‌ها: شناسایی و تحلیل کلیدهای رجیستری که تاریخچه باز کردن فایل‌ها را ذخیره می‌کنند (مانند RecentDocs).

• بررسی فعالیت‌های سیستم: تحلیل کلیدهای رجیستری که حاوی اطلاعات مربوط به فرآیندها و فعالیت‌های سیستم هستند (مثل Prefetch و RecentTasks).

• تاریخچه مرورگر: بررسی کلیدهای رجیستری مرتبط با مرورگرهای وب و اطلاعات کش‌شده آن‌ها (مانند Internet Explorer، Chrome و Firefox).

• اطلاعات مربوط به شبکه: تحلیل کلیدهای رجیستری مربوط به تنظیمات شبکه و VPN (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList).

فصل ۴. تحلیل و استخراج اطلاعات از کلیدهای رجیستری برای شواهد

• رجیستری به عنوان منبع شواهد فعالیت‌های غیرقانونی: شناسایی و تحلیل کلیدهای رجیستری که به شواهد فعالیت‌های مشکوک اشاره دارند (مانند نرم‌افزارهای مخرب).

• پاکسازی و ویرایش رجیستری: بررسی ابزارهایی که ممکن است برای تغییر یا پاک کردن شواهد از رجیستری استفاده شوند.

• پاسخ‌های پس از حملات سایبری: نحوه تشخیص تغییرات یا تخریب‌های عمدی در رجیستری پس از یک حمله.

فصل ۵. استفاده از ابزارهای فورنسیک برای استخراج شواهد از رجیستری

• RegRipper: معرفی ابزار RegRipper برای استخراج اطلاعات از رجیستری و تحلیل آن‌ها.

• FTK Imager: نحوه استفاده از FTK Imager برای استخراج و تجزیه و تحلیل داده‌های رجیستری.

• AccessData Registry Viewer: ابزار ویژه برای تحلیل فایل‌های رجیستری در محیط‌های مختلف.

• X1 Social Discovery: تحلیل شواهد اجتماعی و پرونده‌های مرورگر از رجیستری با استفاده از X1.

• EnCase: نحوه استفاده از EnCase برای جمع‌آوری و تجزیه‌وتحلیل شواهد دیجیتال از رجیستری ویندوز.

فصل ۶. بررسی شواهد مربوط به تغییرات سیستم و پیکربندی‌ها

• System Configuration: بررسی کلیدهای رجیستری که به تغییرات پیکربندی سیستم و تنظیمات آن اشاره دارند.

• Startup Items: شناسایی نرم‌افزارهای فعال در زمان راه‌اندازی سیستم از طریق رجیستری.

• استفاده از Regedit و PowerShell برای کشف تنظیمات مخفی: نحوه استفاده از ابزارهای داخلی برای تحلیل تنظیمات و پیکربندی‌های مخفی و شواهد آن‌ها.

فصل ۷. تشخیص و تحلیل تهدیدات مخفی در رجیستری

• Rootkits و Keyloggers: تشخیص تغییرات در رجیستری مربوط به نرم‌افزارهای مخرب مانند Rootkits و Keyloggers.

• پنهان‌سازی فایل‌ها و فعالیت‌ها: بررسی تکنیک‌هایی که هکرها برای پنهان‌سازی شواهد در رجیستری از آن‌ها استفاده می‌کنند.

• بررسی و تحلیل نرم‌افزارهای مخرب: چگونگی شناسایی و تحلیل نرم‌افزارهای مخرب از طریق تغییرات رجیستری.

فصل ۸. تهیه گزارش و مستندسازی شواهد رجیستری

• اصول گزارش‌دهی در تحلیل رجیستری: روش‌های استاندارد برای گزارش‌نویسی اطلاعات به‌دست‌آمده از رجیستری در تحقیقات قانونی.

• مستندسازی تغییرات رجیستری در جریان تحقیق: چگونگی مستندسازی تغییرات و شواهد کشف‌شده در رجیستری برای استفاده در دادگاه.

• حفظ صحت داده‌ها و Chain of Custody: تضمین زنجیره‌ای بودن شواهد و رعایت دستورالعمل‌های قانونی برای حفاظت از داده‌ها.

بخش 5. بررسی فایل‌های لاگ (Log Files) و ایونت‌ها

فصل 1. مقدمه‌ای بر فایل‌های لاگ و ایونت‌ها

• تعریف لاگ‌ها و ایونت‌ها: آشنایی با مفهوم لاگ‌ها و ایونت‌ها و نقش آن‌ها در ذخیره‌سازی شواهد در سیستم‌های ویندوز

• انواع فایل‌های لاگ: بررسی انواع مختلف فایل‌های لاگ شامل System Logs، Security Logs و Application Logs

• اهمیت تحلیل ایونت‌ها: درک اهمیت ایونت‌های ویندوز به‌عنوان شواهد کلیدی در تحقیقات فورنسیک

• پروتکل‌ها و قوانین قانونی: آشنایی با استانداردهای قانونی برای نگهداری و پردازش لاگ‌ها در تحقیقات قانونی

فصل ۲. ساختار و انواع فایل‌های لاگ ویندوز

• Windows Event Logs: تحلیل ساختار فایل‌های Event Logs در ویندوز، شامل Event ID، Level، Source و Message

• دسته‌بندی ایونت‌ها: شناسایی ایونت‌های مختلف شامل اطلاعات (Information)، هشدار (Warning)، خطا (Error) و رویدادهای بحرانی (Critical)

• Event Viewer: نحوه استفاده از ابزار Event Viewer برای مشاهده و تجزیه و تحلیل ایونت‌ها و لاگ‌ها

• Windows Event Log Schema: درک ساختار داخلی Event Log در ویندوز (زبان XML و فرمت BLOB)

فصل ۳. تحلیل لاگ‌های سیستم و ایونت‌های امنیتی

• Windows Security Log: شناسایی فعالیت‌های مشکوک مانند تلاش‌های غیرمجاز برای ورود به سیستم، تغییرات در تنظیمات امنیتی، و شواهد مربوط به حملات

• اطلاعات مربوط به ورود و خروج کاربران: بررسی ایونت‌های Logon/Logoff، مقایسه با زمان‌بندی‌های ثبت‌شده

• لاگ‌های Audit Policy: تحلیل ایونت‌های فعال‌شده توسط سیاست‌های نظارت امنیتی ویندوز و ارتباط آن‌ها با حملات بالقوه

• شواهد حملات brute-force و تلاش‌های دسترسی غیرمجاز: بررسی ورودهای ناموفق و شواهد مربوط به دسترسی‌های مشکوک

فصل ۴. استفاده از Windows Event Viewer برای شناسایی رویدادهای مشکوک

• کاوش در Event Viewer: آموزش نحوه فیلتر کردن ایونت‌ها با استفاده از پارامترهایی مانند Event ID، User ID، Date و Event Type

• تحلیل ایونت‌های خاص: شناسایی رویدادهای مشکوک، نظیر تغییرات در رجیستری، نصب نرم‌افزار، یا استفاده از ابزارهای مدیریتی

• ایجاد Custom Views: نحوه ایجاد و استفاده از Custom Views برای جستجوی ایونت‌های خاص و فیلتر کردن اطلاعات غیرضروری

• Reporting و مستندسازی: نحوه استخراج داده‌ها از Event Viewer و تبدیل آن‌ها به گزارش‌های قابل فهم برای تحقیقات قانونی

فصل ۵. تحلیل لاگ‌های سیستم و ایونت‌های کاربردی

• لاگ‌های Application: بررسی لاگ‌های مربوط به اپلیکیشن‌ها و شواهدی که ممکن است از نرم‌افزارهای خاص منتشر شوند

• تحلیل برنامه‌ها و دستورات اجرایی: شناسایی برنامه‌های مشکوک یا مخرب که در سیستم اجرا می‌شوند

• شواهد به‌دست‌آمده از لاگ‌های Application: جستجو برای مشکلات نرم‌افزاری، خطاهای برنامه‌نویسی، و دستوراتی که در سیستم اجرا شده‌اند

فصل ۶. شناسایی زمان‌بندی فعالیت‌ها و ساختار رویدادها

• تایم‌لاین‌سازی ایونت‌ها: نحوه ایجاد تایم‌لاین برای درک بهتر توالی رویدادها و فعالیت‌ها

• نقش زمان در تحلیل ایونت‌ها: اهمیت زمان دقیق برای شواهد دیجیتال و چگونه عدم تطابق زمانی می‌تواند به شواهد مشکوک اشاره کند

• استفاده از Time Zone‌ها و UTC: نحوه مدیریت و تطبیق زمان در داده‌های مختلف برای جلوگیری از خطاهای تحلیل

• تحلیل رویدادهای وقفه‌دار و تکراری: بررسی رویدادهایی که در فواصل زمانی مختلف یا به‌طور تکراری رخ می‌دهند

فصل ۷. ابزارهای پیشرفته برای تحلیل فایل‌های لاگ

• Log Parser: استفاده از ابزار Log Parser برای جستجو و تحلیل سریع فایل‌های لاگ

• Chainsaw: ابزار مخصوص جستجو در فایل‌های لاگ و استخراج داده‌های خاص برای شواهد قانونی

• Splunk: استفاده از Splunk برای مدیریت و تجزیه و تحلیل لاگ‌های پیشرفته و زمان‌بندی‌های فعالیت‌های کاربران

• ELK Stack: استفاده از ElasticSearch، Logstash و Kibana برای ذخیره، پردازش و بصری‌سازی لاگ‌ها

فصل ۸. تکنیک‌های پیشرفته در شناسایی رویدادهای مخرب

• Shaping and Correlation of Events: تکنیک‌های پیشرفته برای مرتب‌سازی و همبستگی ایونت‌ها برای شناسایی حملات پیچیده

• Rootkit Detection in Logs: نحوه شناسایی رویدادهای مرتبط با نصب Rootkit‌ها از طریق لاگ‌ها

• حملات DoS/DDoS: بررسی ایونت‌های مرتبط با حملات Distributed Denial of Service و نحوه شناسایی آن‌ها از طریق ترافیک شبکه

• تشخیص بدافزار و فعالیت‌های مخرب: شناسایی شواهد بدافزارهایی که در سطح سیستم از طریق لاگ‌ها ظاهر می‌شوند

فصل ۹. تحلیل لاگ‌ها در سناریوهای خاص

• تحلیل لاگ‌های Remote Desktop Protocol (RDP): شناسایی فعالیت‌های مشکوک و نفوذهای ممکن در ارتباطات RDP

• شواهد ارتباطات مخرب از طریق شبکه: بررسی لاگ‌های ترافیک شبکه برای شواهد حملات شبکه‌ای و ارتباطات مشکوک

• پاسخ به حملات Zero-Day: نحوه شناسایی و تحلیل رویدادهایی که ممکن است نشانه‌ای از حملات Zero-Day باشند

فصل ۱۰. مستندسازی و گزارش‌دهی از تحلیل لاگ‌ها

• گزارش‌دهی دقیق: تکنیک‌های مستندسازی و گزارش‌دهی به‌طور حرفه‌ای و مستند از ایونت‌های مشکوک و تحلیل‌های انجام‌شده

• تهیه گزارش‌های تخصصی برای دادگاه: آموزش نحوه آماده‌سازی گزارش‌هایی که می‌توانند به‌عنوان شواهد در دادگاه استفاده شوند

• آماده‌سازی مستندات برای بررسی‌های بعدی: جمع‌آوری و مستندسازی تمامی ایونت‌ها و نتایج تحلیل برای استفاده در تحقیقات آینده

بخش 6. بازیابی و تحلیل اطلاعات حذف‌شده (Data Recovery)

فصل 1. مفاهیم پایه بازیابی داده‌ها

• تفاوت میان حذف فیزیکی و منطقی داده‌ها

• توضیح روش‌های فیزیکی و منطقی حذف اطلاعات

• بررسی ساختار فایل‌ها و چگونگی نگهداری داده‌ها پس از حذف

فصل 2. روش‌های بازیابی داده‌ها

• بازیابی منطقی (Logical Recovery):

  • تعریف و کاربرد بازیابی داده‌ها در سطوح سیستم فایل

  • بازیابی از فایل‌های NTFS و FAT32

  • بررسی وضعیت فایل‌های حذف‌شده در ساختار MFT (Master File Table) در NTFS

• بازیابی فیزیکی (Physical Recovery):

  • استفاده از تکنیک‌های درایو به درایو (Drive-to-Drive Imaging)

  • شبیه‌سازی دیسک سخت به منظور بازیابی اطلاعات

  • استفاده از ابزارهای دستی در بازیابی اطلاعات فیزیکی از دیسک‌های خراب

فصل 3. ابزارهای بازیابی داده‌ها

• FTK Imager:

  • نحوه استفاده از FTK Imager برای گرفتن یک نسخه ایمن از سیستم

  • تحلیل داده‌های بازیابی‌شده با FTK Imager

• Recuva:

  • استفاده از Recuva برای بازیابی فایل‌های حذف‌شده

  • نکات و محدودیت‌های استفاده از این ابزار

• X1 Search:

  • چگونگی استفاده از X1 Search برای جستجوی سریع و بازیابی داده‌ها

• Autopsy:

  • تحلیل داده‌ها با Autopsy و استفاده از آن برای بازیابی داده‌های حذف‌شده

• Sleuth Kit:

  • استفاده از Sleuth Kit برای تحلیل فایل‌های حذف‌شده و گزارش‌دهی

فصل 4. تحلیل و بررسی داده‌های حذف‌شده

• Metadata و بررسی ویژگی‌های فایل‌های حذف‌شده:

  • بازیابی و تحلیل اطلاعات متادیتا از فایل‌های حذف‌شده

  • بررسی تاریخچه تغییرات و تاریخچه ذخیره‌سازی فایل‌ها

• File Slack و Unused Space:

  • بازیابی داده‌ها از فضای غیر استفاده (slack space) و بررسی شواهد در حافظه‌فرمت‌شده

  • روش‌های پیدا کردن فایل‌های نیمه‌حذف‌شده

• تکنیک‌های Hexadecimal Analysis:

  • تحلیل داده‌ها در سطح هگزادسیمال برای شواهدی که به طور مستقیم قابل بازیابی نیستند

فصل 5. تکنیک‌های ضد جرم‌شناسی (Anti-Forensics)

• دستکاری داده‌ها و جلوگیری از بازیابی:

  • بررسی تکنیک‌های حذف دائمی داده‌ها (مانند استفاده از ابزارهای Shredder)

  • روش‌های خراب‌کاری در اطلاعات ذخیره‌شده برای جلوگیری از بازیابی

• آشنایی با ابزارهای ضد جرم‌شناسی:

  • بررسی ابزارهای شبیه‌سازی حذف دائمی داده‌ها و تأثیر آن‌ها بر فرایند بازیابی

فصل 6. بازیابی و تحلیل فایل‌های ویندوز پس از حملات

• بازیابی اطلاعات از فایل‌های آلوده و مبتلا به ویروس‌ها:

  • تکنیک‌ها و ابزارهای بازیابی از سیستم‌های آسیب‌دیده توسط بدافزار

  • بازیابی داده‌ها از سیستم‌های قفل‌شده یا به سرقت رفته

• مقابله با Ransomware و بازیابی اطلاعات قفل‌شده:

  • روش‌های بازیابی داده‌ها از سیستم‌های آلوده به باج‌افزار

  • استفاده از ابزارهای آنالیز و بازیابی از فایل‌های رمزنگاری‌شده

فصل 7. آزمایش و ارزیابی داده‌های بازیابی‌شده

• تایید صحت داده‌های بازیابی‌شده:

  • بررسی همخوانی فایل‌های بازیابی‌شده با داده‌های اصلی

  • استفاده از Hashing برای بررسی یکپارچگی داده‌ها

• آزمایش از ابزارهای بازیابی مختلف:

  • مقایسه عملکرد ابزارهای مختلف در بازیابی انواع داده‌ها

  • بررسی نتایج بازیابی و ارزیابی روش‌های مختلف

فصل 8. مستندسازی و گزارش‌دهی در بازیابی داده‌ها

• مستندسازی فرآیند بازیابی داده‌ها:

  • ثبت جزئیات مراحل بازیابی داده‌ها و استفاده از ابزارهای مختلف

  • آماده‌سازی گزارشات دقیق و مستند از داده‌های بازیابی‌شده

• نکات مهم در گزارش‌دهی داده‌های بازیابی‌شده:

  • نحوه تنظیم گزارش برای ارائه در دادگاه یا تحقیقات رسمی

  • استفاده از تصاویر و نمودارها برای مستند کردن فرآیند بازیابی