קהל היעד

הסדנה מיועדת לאנליסטים, חוקרי אבטחה, חוקרים פורנזיים, מומחי IT, וצוותי Incident Response המעוניינים לרכוש ידע מעשי בתחום.

דרישות קדם

היכרות טובה עם מערכות הפעלה מבוססות Windows

היכרות עם טכניקות לוחמת סייבר

היכרות עם פרוטוקולי תקשורת TCP/IP – יתרון

היכרות עם לינוקס ו-bash – יתרון

משך הסדנה

40/80 שעות

מתעניינים? צרו קשר

תיאור ומטרת הקורס

מערכות ההפעלה מבוססות Windows מהוות קרקע פורה לראיות פורנזיות. בצורה מובנית, תוך כדי פעילותן, הן מייצרות כמויות אדירות של מידע ותוצרי לוואי המעידים על פעולות ואירועים שהתרחשו במערכת. כל קובץ שמורץ במערכת זוכה לתיעוד ושלל רישומים במקומות שונים במערכת ההפעלה. גלישה באינטרנט, מילוי טפסים, פתיחת מסמכים, מחיקת קבצים ואפילו המיקום המדויק של כל חלון בממשק המשתמש מתועדים באופן אוטומטי כחלק מהמנגנונים המובנים במערכת ההפעלה.

בסדנה ילמדו הסטודנטים כיצד להרכיב תמונה מדויקת, סדורה ומפורטת של ההתרחשויות והפעולות במערכת ההפעלה מתוך מגוון מקורות; הדיסק הקשיח וטבלת הקבצים, האוצרות החבויים ב-registry, האירועים ב-windows events, חתימות זמן ואירועים בקבצי log של אפליקציות, וגולת הכותרת – רמת הפירוט המדהימה של המידע שניתן להפיק מדגימות זיכרון (memory dumps) של מערכת ההפעלה, בהן כל המידע מופיע כטקסט קריא (clear-text).

אודות CYBERPRO

CYBERPRO הוקמה בשיתוף פעולה עם גורמי אבטחת מידע והדרכה בינלאומיים אשר מביאים לישראל את טכנולוגיות הכשרת הסייבר מהמובילות בעולם ואת חוויית הלימוד בסטנדרט הגבוה ביותר הקיים כיום.

בין השותפים נמצאת גם קבוצת IITC אשר מכשירה בוגרים לתעשיית ההייטק כבר למעלה מ 20 שנה ונבחרה להיות מרכז הדרכה של חברת Cisco בישראל.

ההכשרות המתקדמות והמבוקשות של CYBERPRO בתחומי תשתיות, אבטחת מידע וסייבר הינן שם דבר בעולם. הכשרות אלו פותחו על ידי מומחי סייבר מהשורה הראשונה בעולם, עבור גופיי אבטחה בינלאומיים השמים דגש רב על יכולות ההדרכה הגבוהות, שיטות הלמידה המקצועיות וטכנולוגיות האימון והתרגול הייחודיות. החיבור עם גופים בינלאומיים מאפשרים לסטודנטים הלומדים אצלנו להחשף להזדמנויות תעסוקה ייחודיות בארץ ובעולם.

מסלולי ההכשרה והלימוד מבוססים כולם על תרגול מעשי רב, הכנה לדרישות התעשיה והמקצוע ולכן משלבים מעבדות טכנולוגיות ותרגול באמצעות סימולטור מהמתקדמים בעולם.

תכנים מקצועיים שילמדו

Digital forensics in rapid-changing space

  • Post-mortem (forensics) vs. real time (incident response)
  • What is host forensics?
  • The order of volatility and evidence types
  • The methodology of running an investigation
  • Open source: Yes we can!
  • Building your own examination platform

Disk and filesystem analysis

  • Media analysis concepts
  • The Sleuth Toolkit
  • Partitioning and disk layouts
  • Special containers
  • Hashing
  • File carving
  • Forensic RAW Imaging with dd
  • Converting virtual storage to RAW images

Generating filesystem timelines

  • Filesystem MACB timestamps
  • Generating body files from images and mounted media
  • Timeline generation and analysis with fls and autopsy
  • Indexing modifications, access, and creation with Linux shell
  • Timeline generation and analysis

Windows system artifacts

  • Windows file systems (FAT32, NTFS)
  • Registry forensics
  • Event logs
  • Prefetch files
  • Shortcut files
  • Windows executables

Internet-related artifacts

  • Browser artifacts (history, stored passwords and forms, auto-complete)
  • Mail client artifacts
  • File-sharing artifacts
  • Messaging and VoIP client artifacts
  • IDE and other DevTools

Super timeline all the things

  • Super timelines: What and why
  • Getting started with Plaso
  • Creating timelines
  • Using collection filters
  • Event filters
  • Analysis plugins
  • Analyzing Plaso output with Elasticsearch and Kibana

Memory forensics

  • Memory acquisition
  • Memory dump formats
  • sys, swap files and Windows crush dumps
  • Virtual machine memory files
  • The Volatility Framework
  • Processes, handles, and tokens
  • File objects in memory
  • Network artifacts in memory
  • Command history

Hunting windows malware in memory

  • PE files in memory
  • Packing and compression
  • Code injections
  • Event logs in memory
  • MFT extraction and filesystem timeline from memory
  • Extracting files
  • Windows Registry analysis in memory (UserAssist, ShimCache, ShellBags)
  • Dumping password hashes, LSA secrets

Digging deeper (Windows memory)

  • Hidden network connections
  • Raw sockets and sniffers
  • Internet History
  • DNS and ARP cache recovery
  • Investigating service activity
  • Generating “Super” timelines and Registry TimeStomping
  • (Re)constructing attack flows
  • Volatility strings

The Windows forensic challenge

  • Enterprise-scale multi-machine Windows Breach CTF (1 Day)
  • Multi-step “targeted” attack
  • Analysis reports
  • Challenge walkthrough and investigative conclusions