Datautvinning från digitala lagringsmedia, 7.5 hp



Relevanta dokument
Datautvinning från digitala lagringsmedia, 7.5 hp

Datautvinning från digitala lagringsmedia

Ämnesintroduktion. Varför incidenthantering? Vårt mål? Incidenthantering - Datautvinning

KONSTFACK Institutionen för design, inredningsarkitektur och visuell kommunikation KURSPLAN

Introduktion. Välkommen till kursen DT1035 Kriminalteknisk (forensisk) Datavetenskap 1 Lärare: Hans Jones hjo@du.se Hans Edy Mårtensson hem@du.

KONSTFACK Institutionen för design, inredningsarkitektur och visuell kommunikation KURSPLAN

KURS-PM för. Lärande i arbete 1 (YTLW17) 20 Yhp. Version 1.1 Uppdaterad

D A T A U T V I N N I N G F R Å N D I G I T A L A L A G R I N G S M E D I A K U N S K A P S P R O V DT

Introduktionsmöte Innehåll

Kursen är en fristående kurs inom huvudområdet strategisk kommunikation. Kursen ges i Helsingborg.

SOCA04, Sociologi: Fortsättningskurs, 30 högskolepoäng Sociology: Level 2, 30 credits Grundnivå / First Cycle

KURSPLAN. Graphic Design and Illustration 6 30 högskolepoäng / 30 credits

INSTITUTIONEN FÖR SOCIOLOGI OCH ARBETSVETENSKAP

B. Förkunskapskrav och andra villkor för tillträde till kursen

Webbdesign med multimedia, 5p Kurskod Kurstillfälle Hösten 2007 Kursansvarig lärare Ulf Larsson, Rum 3047

SOCA13, Sociologi: Socialpsykologi, 30 högskolepoäng Sociology: Social Psychology, 30 credits Grundnivå / First Cycle

Spårbarhet i digitala system. Biografi. Spårbarhet. Osynlig övervakning och de spår vi lämnar efter oss

KURSPLAN. Graphic Design and Illustration 5 30 högskolepoäng / 30 credits

Avdelningen för informations- och kommunikationssystem Fakulteten för naturvetenskap, teknik och medier

KURS-PM Produktionsutveckling

ÄMAD04, Matematik 4, 30 högskolepoäng Mathematics 4, 30 credits Grundnivå / First Cycle

HANDLEDARGUIDE HANDLEDD VERKSAMHETSFÖRLAGD UTBILDNING (H-VFU) 28 HP, KURSKOD: 2SC117

G1N, Grundnivå, har endast gymnasiala förkunskapskrav

INSTITUTIONEN FÖR SVENSKA SPRÅKET

KURS-PM Produktionsutveckling

KURSPROGRAM Kommunal och industriell avloppsvattenrening

BION03, Biologi: Examensarbete - masterexamen, 60 högskolepoäng Biology: Master s Degree Project, 60 credits Avancerad nivå / Second Cycle

Examinator Henrika Jormfeldt

Teckenspråk ur tolkningsperspektiv Sign Language from an Interpreter's View. G2F - Grundnivå, har minst 60 hp kurs/er på grundnivå som förkunskapskrav

BUSR31 är en kurs i företagsekonomi som ges på avancerad nivå. A1N, Avancerad nivå, har endast kurs/er på grundnivå som förkunskapskrav

INSTITUTIONEN FÖR JOURNALISTIK, MEDIER OCH KOMMUNIKATION

INSTITUTIONEN FÖR SOCIOLOGI OCH ARBETSVETENSKAP

PSYKOLOGISKA INSTITUTIONEN

SOAN33, Socialt arbete med barn och unga, 15 högskolepoäng Social Work with Children and Young People, 15 credits Avancerad nivå / Second Cycle

INSTITUTIONEN FÖR LITTERATUR, IDÉHISTORIA OCH RELIGION

Stockholms Universitet Sociologiska Institutionen. Delkursplan till specialkursen Samhällsproblem (6 hp) Sociologi I&II VT15 (13/4 30/4 2015)

Kursens benämning: Verkan och skydd, interaktionen teknik-taktik. Engelsk benämning: Military-Technology, Weapons and Protection Technology

Socionomprogrammet med storstadsprofil Socialt arbete med storstadsprofil Betygsalternativ på hel kurs: G

Datum Kursens benämning: Grundkurs Militärteknik, Militära medel. Engelsk benämning: Basic Course Military Technology, Military means

Närvarorapport samt bedömningsunderlag LIA 1 (Lärande i arbete 1)

JFVA02, Juridik: Affärsjuridik, 15 högskolepoäng Business Law, 15 credits Grundnivå / First Cycle

Fastställande. Allmänna uppgifter. Samhällsvetenskapliga fakulteten

Scriptprogrammering och avancerad Flash. Ulf Larsson Jon Wåhlstedt

Religionskunskap 1 15 hp, delkurs 1 Religionshistorisk introduktion (7,5 hp)

Kursen är en masterkurs inom programmet Master of Science in Management där denna kurs är ett obligatoriskt moment.

Kursbeskrivning för grundläggande statistik 2 (6 hp), SSA 2, VT17

IC1007 Människa-dator interaktion: Principer och Design 7,5 hp

B. Förkunskapskrav och andra villkor för tillträde till kursen

Kursplanen är fastställd av Naturvetenskapliga fakultetens utbildningsnämnd att gälla från och med , höstterminen 2017.

Stockholms Universitet Sociologiska Institutionen. Delkursplan till specialkursen Samhällsproblem (6 hp) Sociologi I&II VT17 (4/4 5/5 2017)

INSTITUTIONEN FÖR LITTERATUR, IDÉHISTORIA OCH RELIGION

SOCA45, Sociologi: Klass, kön och etnicitet, 30 högskolepoäng Sociology: Class, Gender and Ethnicity, 30 credits Grundnivå / First Cycle

Föreläsning 1 Programmeringsteknik och C DD1316. Mikael Djurfeldt

KURS-PM för. Lärande i arbete 2 (YTLR27) 40 Yhp. Version 1.0 Uppdaterad

Riktlinjer och mallar för betygskriterier inom grundutbildningen i biologi (beslutat av BIG: s styrelse den 13 juni 2007)

INSTITUTIONEN FÖR KEMI OCH MOLEKYLÄRBIOLOGI

NSÄA30, Svenska III inom ämneslärarprogrammet, årskurs 7 9, 30 hp

JAEN61, Europeisk patenträtt, 15 högskolepoäng European Patent Law, 15 credits Avancerad nivå / Second Cycle

KONSTFACK Institutionen för design, inredningsarkitektur och visuell kommunikation KURSPLAN

AVDELNINGEN FÖR HANDELSHÖGSKOLANS EKONOMPROGRAM

FÖRETAGSEKONOMISKA INSTITUTIONEN

Studiehandledning Pedagogisk och didaktisk forskning I (7,5 hp) Vårterminen 2014

KURSPLAN. Kursens omfattning 55,5 högskolepoäng. Förkunskapskrav Antagen till Kungl. Konsthögskolans masterprogram i fri konst.

INSTITUTIONEN FÖR SOCIOLOGI OCH ARBETSVETENSKAP

För studenter registrerade på kursen före höstterminen 2016 finns speciella övergångsregler vilka beskrivs i slutet av detta dokument.

TNSL05, Optimering, Modellering och Planering 6 hp, HT2-2011

INSTITUTIONEN FÖR GLOBALA STUDIER

IKG119, Introduktion till kostvetenskap, 7,5 högskolepoäng Introduction to Food and Nutrition, 7.5 higher education credits

Kursbeskrivning för Ekonometri, 15 högskolepoäng

Studieanvisning och betygskriterier Kurs: Måltids och restaurangvetenskap 4 (inriktning värdskap) Moment 1: Alkohollagen och livsmedelslagen

Poäng. Start v. DV1: Datavetenskapens byggstenar 7.5. Antal registrerade (män/kvinnor) 38 (38/0)

Institutionen för ekonomi och IT Kurskod LED100. Fastställandedatum Utbildningsnivå Grundnivå Reviderad senast

Studiehandledning. IBM240 Infektion, immunologi, tumörbiologi och hematologi med egenvård, 7.5 hp

Riktlinjer för Verksamhetsförlagd utbildning inom. Förskollärarutbildningen. UVK4: Sociala relationer, konflikthantering och ledarskap.

Riktlinjer för Verksamhetsförlagd utbildning inom. Förskollärarutbildningen. UVK5: Sociala relationer, konflikthantering och ledarskap.

Studiehandledning. Socialpsykologi 1, SOGA30 Delkurs 3: Att undersöka människors samspel, 7,5 hp. Höstterminen 2016

Kursen ges som fristående kurs i huvudområdet socialt arbete och kan ingå i en masterexamen i samhällsvetenskap med fördjupning i socialt arbete.

Kursguide till. RY1200 Fortsättningskurs i ryska, 30 hp INSTITUTIONEN FÖR SPRÅK OCH LITTERATURER VT16

Utredning och åtgärder avseende individen 1: PSYKOPATOLOGI (7,5 HP) VT-17

STATSVETENSKAPLIGA INSTITUTIONEN

MVKF20 Transportfenomen i människokroppen. Kursinformation 2014

Riktlinjer för Verksamhetsförlagd utbildning inom. Förskollärarutbildningen. Kurs: Barndomens villkor

JUZN11, Juridisk kommunikation, 15 högskolepoäng Communicating Law, 15 credits Avancerad nivå / Second Cycle

Behörighetsgivande kurs i svenska 30 högskolepoäng

Morfologiska och syntaktiska strukturer, 7,5 hp LIN200, LIN202

Kinesiska I Kursbeskrivning HT 2013

Kursutvärdering / Kursrapport

STOCKHOLMS UNIVERSITET HT 2007 Statistiska institutionen Tatjana Nahtman Karin Dahmström

STOCKHOLMS UNIVERSITET HT 2010 Statistiska institutionen Linda Wänström (moment 1 och 2) Jörgen Säve-Söderbergh (moment 3 och 4)

Portfölj (portfolio), T1, Stadium I, Läkarprogrammet, Örebro Universitet. Portfölj. Termin 1, Stadium I

Institutionen för ekonomi och IT Kurskod OVA100. Fastställandedatum Utbildningsnivå Grundnivå Reviderad senast

KONSTFACK Institutionen för design, inredningsarkitektur och visuell kommunikation KURSPLAN

Allmän kemi. Programkurs 6.0 hp General Chemistry 8BKG13 Gäller från: 2018 HT. Fastställd av. Fastställandedatum

Utbildningsplan för teknisk/naturvetenskaplig bastermin, 20 veckor, 2016

G2E, Grundnivå, har minst 60 hp kurs/er på grundnivå som förkunskapskrav, innehåller examensarbete för kandidatexamen

Svenska som främmande språk Förberedande kurs 30 högskolepoäng

Betygskriterier. NS1082, Svenska i arbetslivet I, 30 hp. Fastställda av institutionsstyrelsen Gäller fr.o.m. ht 2014.

Tillämpad apoteksfarmaci VT Information om Riktlinjer, tidsschema, delkurser

Riktlinjer för Verksamhetsförlagd utbildning inom. Förskollärarutbildningen. UVK5: Sociala relationer, konflikthantering och ledarskap.

Kursplan. Kursens benämning: Folkrätt i militära operationer. Engelsk benämning: International Law of Military Operations

Transkript:

Datautvinning från digitala lagringsmedia, 7.5 hp Kursbeskrivning Mattias Weckstén Högskolan i Halmstad Våren 2011 Veckorna 12-21

1 Introduktion Datautvinning från digitala lagringsmedia är en grundläggande kurs i incidenthantering, med syfte att lägga en grund till fördjupande kurser i forensiska verktyg. Kursen löper över 7,5 hp halv fart och består av föreläsningar, inlämningsuppgifter och laborationer. Kontinuerligt uppdaterad information om kursen hittar du på: http://www.hh.se/dt2002 Följande personal kommer att jobba med kursen: Examinator Kursansvarig Övriga roller Mattias Wecksten Mattias Wecksten, anknytning 7396, rum F313 Labassistent 2 Kursens syfte och lärandemål Kursen ska ge studenten kunskaper om metoder relaterat till kriminaltekniska verktyg för att säkra och utvinna data från digitala lagringsmedia. Efter avslutad kurs ska studenten kunna: hantera några av de på marknaden förekommande verktygen för utvinning av data från digitala lagringsmedia. självständigt analysera ett system för vilket datautvinning ska ske. självständigt planera utvinning av data ur systemet baserat på en systemanalys. genomföra en praktisk datautvinning från ett givet system. 3 Kursens innehåll Kursen omfattar en teoretisk introduktion till datautvinning från digitala lagringsmedia vilket innebär: Översikt över: de på marknaden förekommande hårdvarorna inom området. de vanligaste dataformaten. de på marknaden förekommande verktygen för datautvinning. Metoder för: datautvinning från fysiska enheter så som hårddiskar eller minneskort. datautvinning från logiska enheter så som epostsystem eller databaser. övervakning och logganalys. att dölja data. att kryptera data.

att förhindra förändring av data. Analys av: informationsspridning och dess effekter. vanligt förekommande virus, maskar och trojaner och deras användningsområden. Praktiska övningar i datautvinning.

4 Kursmoment Här följer en detaljerad plan över kursens olika moment. I texten anges läsanvisningar kopplat till varje moment, kursiv läsning anges omgivet av parenteser. Vecka 12 F1 Kursintroduktion/ Ämnesintroduktion Vid detta tillfälle kommer kursen att presenteras av kursansvarig. Det blir en genomgång av den här kursbeskrivningen och du kan ställa frågor om det är något som är oklart. Formen för examinationsmomenten gås igenom och tidsramar för dessa fastslås. En översikt av ITforensikerns roll och arbetsuppgifter ges tillsammans med förutsättningarna för digital datautvinning. Föreläsningen avslutas med en demonstration av datautvinning från ett datorsystem. F2 Incidenthantering/ Bevis, lagar och regler En översikt av incidenthantering. Vad är bevis? Hur ska bevis hanteras? Vilka lagar och regler styr hur vi måste agera? Vad ska vi göra med bevisen sedan? Vad gör en expert? Förbered - 1 Läs utdrag 2 ur förhandlingsprotokollet för målet Pirate Bay - Jämför och granska de två experternas utlåtanden. Läs Incident Response s. 3-32 Läs kursboken s.1-48. Skriven uppgift A, 2000 tecken, Svagheter i två expertutlåtanden

Vecka 13 F3 Lagringsteknik Hur kan man lagra data? F4 Bevishantering / Organisation Hur hanterar man bevis rent praktiskt? Hur hanterar vi bevis som inte är fysiska? Förbered - 2 Läs kursboken s.147-188, 49-94 Skriven uppgift B, 2000-4000 tecken, Ett lagringsmedium ur ett IT-forensiskt perspektiv Vecka 14 F5 Forensiska verktygslådan Vad behövs för att kunna säkra digitala bevis? Vilka analysverktyg har vi att arbeta med? F6 Inhämtning Hur genomför man en inhämtning av digitala bevis? Förbered - 3 Läs kursboken s. 209-241 + 267-293 Läs utdrag 1 ur FörUndersökningsProtokollet (FUP) för målet Pirate Bay - Fundera på vad som sägs med bakgrund av vad vi läst så långt. - Fundera över vilka argument det finns för att använda checksummor? Skriven uppgift C, 2000 tecken, Incidentkedjan i ett verkligt fall Vecka 15 F7 Volatila data/ Inhämtning av volatila data Vad är volatil data? F8 Inhämtning av volatila data Hur utvinner man volatil data? Vilka problem finns? L1 Laboration Datautvinning, checksummor och kontaminering.

Förbered - 4 Läs utdrag 3 och 4 från FUP och jämför hur man valt att dokumentera med bokens strategi. Läs kursboken s. 121-142 + 243-266 Uppgift D, Sätt samman en egen forensisk verktygslåda - Utgå från förslagen i boken - Samarbeta gärna i hela klassen - Dokumentera - Glöm inte att generera checksummor och kontrollera beroenden Vecka 16 F9 Nätverk Hur utvinner vi data från nätverk? Vad är volatilt och vad är statiskt? F10 Stora system Vilka problem uppstår då systemen är stora? L2 Laboration Datainsamling initial respons. Förbered - 5 Läs kursboken s.95-118 + 295-312 Vecka 17 -=OMTENTAVECKA=- Vecka 18 F11 Portabla enheter / Flyttbara media Hur hanteras flyttbara media och portable enheter? Vilka avtryck lämnar de? F12 Forensisk arbetsstation Vilka krav ska vi ställa på en forensisk arbetsstation?

L3 Laboration Datautvinning av Windowssystem och data-analys i AutoPsy. Förbered - 6 Läs kursboken s.189-207 + 315-341 + 345-365 Vecka 19 F13 Det forensiska labbet Hur bygger vi upp ett forensiskt labb? F14 Rapport Hur går man tillväga om man stöter på ett helt nytt okänt hackerverktyg som infekterat ditt system? Vad skiljer mellan olika typer av rapporter. Hur skriver man rapport för en person som är expert på ett annat område än det IT-forensiska? L4 Laboration Analys av en trojan i ett Linuxsystem. Förbered - 7 Läs Incident Response s. 435-453 Läs kursboken s.367-386

5 Kursmoment Obligatoriska moment För att få ut slutbetyg för genomförd kurs krävs att man: deltagit vid samtliga laborationer (4 stycken) med resultatet godkänd. skrivit tentamen med resultatet G. Valfria moment De skrivna uppgifterna A-C och miniprojektet uppgift D är valfria. De som genomför momenten och blir godkända kommer att tillgodoräknas bonuspoäng om slutresultatet blir U eller 3 på den skriftliga tentamens ordinarie skrivtillfälle. Varje avklarat moment ger bonuspoäng. 6 Betygskriterier För betyget 3 krävs att studenten kan: redogöra för grundläggande uttryck och begrepp. arbeta med förekommande forensiska verktyg. planera och genomföra datautvinning samt grundläggande forensisk analys. För betyget 4 krävs att studenten dessutom kan: applicera kända metoder på okända fall. För betyget 5 krävs att studenten kan: generalisera och utveckla egna metoder. 7 Litteraturlista Brown, Christopher. Computer Evidence: Collection and Preservation. Mandia, Proise, Pepe, Incident Response & Computer Forensics

8 Tidsplanering För att underlätta er möjlighet att påverka er utbildning så följer här en översikt av hur stor del de olika momenten i kursen tar i anspråk. För att underlätta er studieplanering hittar du här en mall för studieplan. Studieplan för DT2002 0 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 11 12 F F F F 13 F F F F 14 F F F F 15 L L F F F F 16 L L F F F F 17 18 L L F F F F 19 L L F F F F 20 21 F = Föreläsning L = Labb U = Uppgift A-D B = Inläsning T = Tentaprep.

9 Fördjupningsmaterial Hit by a bus Zip bomb TrueCrypt Sub7-analys i AutoPsy AdWare tcpdump Antisniff FreeBSD Avlyssning Okända lösenord Rainbowtables Sandman dcfldd dd Forensic Carving http://storm.net.nz/static/files/ab_firewire_rux2k6-final.pdf http://en.wikipedia.org/wiki/zip_bomb http://www.truecrypt.org/docs/ http://video.google.com/videoplay?docid=280510391858381437 http://philosecurity.org/2009/01/12/interview-with-an-adwareauthor http://openmaniak.com/tcpdump.php http://seclists.org/bugtraq/1999/jul/0195.html http://en.wikipedia.org/wiki/freebsd http://www.dgonzalez.net/pub/roc/roc.pdf http://en.wikipedia.org/wiki/password_cracking http://home.eunet.no/~pnordahl/ntpasswd/ http://www.openwall.com/john/interviews/sf-20060222-p1 http://en.wikipedia.org/wiki/rainbow_table http://tinyurl.com/6pmm7s http://www.forensicswiki.org/wiki/dcfldd http://linux.die.net/man/1/dcfldd http://www.linuxjournal.com/article/1320 http://tinyurl.com/c9gahs A smart carving approach http://sandbox.dfrws.org/2006/mora/dfrws2006.pdf Reguljära uttryck AutoPsy Hur används nmap Hur fungerar MD5? http://www.regular-expressions.info/ http://www.irongeek.com/i.php?page=videos/autopsy1 http://revision3.com/hak5/wontyoubemyneighbor/ http://nmap.org/book/man.html http://nmap.org/bennieston-tutorial/ http://en.wikipedia.org/wiki/md5 http://www.faqs.org/rfcs/rfc1321.html Vilka svagheter har MD5? http://www.win.tue.nl/hashclash/rogue-ca/

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss