Datautvinning från digitala lagringsmedia, 7.5 hp

Relevanta dokument
Datautvinning från digitala lagringsmedia, 7.5 hp

Datautvinning från digitala lagringsmedia

Ämnesintroduktion. Varför incidenthantering? Vårt mål? Incidenthantering - Datautvinning

Introduktion. Välkommen till kursen DT1035 Kriminalteknisk (forensisk) Datavetenskap 1 Lärare: Hans Jones hjo@du.se Hans Edy Mårtensson hem@du.

KONSTFACK Institutionen för design, inredningsarkitektur och visuell kommunikation KURSPLAN

KURS-PM för. Lärande i arbete 1 (YTLW17) 20 Yhp. Version 1.1 Uppdaterad

Kursbeskrivning för grundläggande statistik 2 (6 hp), SSA 2, VT17

Spårbarhet i digitala system. Biografi. Spårbarhet. Osynlig övervakning och de spår vi lämnar efter oss

Webbdesign med multimedia, 5p Kurskod Kurstillfälle Hösten 2007 Kursansvarig lärare Ulf Larsson, Rum 3047

D A T A U T V I N N I N G F R Å N D I G I T A L A L A G R I N G S M E D I A K U N S K A P S P R O V DT

Kursbeskrivning för grundläggande statistik 2 (7.5 hp), SSA 2, HT17

Kursbeskrivning för grundläggande statistik 2 (7.5 hp), SSA 2, VT19

Scriptprogrammering och avancerad Flash. Ulf Larsson Jon Wåhlstedt

Studiehandledning Pedagogisk och didaktisk forskning I (7,5 hp) Vårterminen 2014

INSTITUTIONEN FÖR SVENSKA SPRÅKET

KURS-PM Produktionsutveckling

BUSR31 är en kurs i företagsekonomi som ges på avancerad nivå. A1N, Avancerad nivå, har endast kurs/er på grundnivå som förkunskapskrav

KONSTFACK Institutionen för design, inredningsarkitektur och visuell kommunikation KURSPLAN

KURSPLAN. Graphic Design and Illustration 6 30 högskolepoäng / 30 credits

Utredning och åtgärder avseende individen 1: PSYKOPATOLOGI (7,5 HP) VT-17

BION03, Biologi: Examensarbete - masterexamen, 60 högskolepoäng Biology: Master s Degree Project, 60 credits Avancerad nivå / Second Cycle

KURSPLAN. Graphic Design and Illustration 5 30 högskolepoäng / 30 credits

Datum Kursens benämning: Grundkurs GIS, Grundkurs i Geografiska Informationssystem

Föreläsning 1 Programmeringsteknik och C DD1316. Mikael Djurfeldt

Svenska som främmande språk Förberedande kurs 30 högskolepoäng

Socionomprogrammet med storstadsprofil Socialt arbete med storstadsprofil Betygsalternativ på hel kurs: G

Kursen ingår som en obligatorisk kurs på juristprogrammets grundnivå och upptar programmets fjärde termin.

Kursen är en fristående kurs inom huvudområdet strategisk kommunikation. Kursen ges i Helsingborg.

KURS-PM Produktionsutveckling

SOCA04, Sociologi: Fortsättningskurs, 30 högskolepoäng Sociology: Level 2, 30 credits Grundnivå / First Cycle

Kursplan för kurs på grundnivå

KURS-PM för. Lärande i arbete 2 (YTLR27) 40 Yhp. Version 1.0 Uppdaterad

JFVA02, Juridik: Affärsjuridik, 15 högskolepoäng Business Law, 15 credits Grundnivå / First Cycle

INSTITUTIONEN FÖR SOCIOLOGI OCH ARBETSVETENSKAP

Avdelningen för informations- och kommunikationssystem Fakulteten för naturvetenskap, teknik och medier

INSTITUTIONEN FÖR SOCIOLOGI OCH ARBETSVETENSKAP

Kursguide till. RY1200 Fortsättningskurs i ryska, 30 hp INSTITUTIONEN FÖR SPRÅK OCH LITTERATURER VT16

Behörighetsgivande kurs i svenska 30 högskolepoäng

Kursens benämning: Militärteknik OP, Sensorer, telekrig och ledningssystem

Engelsk benämning: Technology for military platforms in specific arenas

Morfologiska och syntaktiska strukturer, 7,5 hp LIN200, LIN202

Introduktionsmöte Innehåll

IC1007 Människa-dator interaktion: Principer och Design 7,5 hp

Kursguide. Kursnamn. Telefon. Termin HT2015

Religionskunskap 1 15 hp, delkurs 1 Religionshistorisk introduktion (7,5 hp)

Kursplanen är fastställd av Naturvetenskapliga fakultetens utbildningsnämnd att gälla från och med , höstterminen 2017.

B. Förkunskapskrav och andra villkor för tillträde till kursen

Institutionen för ekonomi och IT Kurskod LED100. Fastställandedatum Utbildningsnivå Grundnivå Reviderad senast

KURSPROGRAM Kommunal och industriell avloppsvattenrening

Datum Kursens benämning: Geografisk information för Försvarsmakter (Nordisk GIS-kurs)

Administration av operativsystem, 7.5 hp

Teckenspråk ur tolkningsperspektiv Sign Language from an Interpreter's View. G2F - Grundnivå, har minst 60 hp kurs/er på grundnivå som förkunskapskrav

Fastställande. Allmänna uppgifter. Kursens mål. Juridiska fakulteten

INSTITUTIONEN FÖR LITTERATUR, IDÉHISTORIA OCH RELIGION

Kursplanering för kurs: Datasäkerhet (DS - LUKaug08)

KONSTFACK Institutionen för design, inredningsarkitektur och visuell kommunikation KURSPLAN

För studenter registrerade på kursen före höstterminen 2016 finns speciella övergångsregler vilka beskrivs i slutet av detta dokument.

Kursens benämning: Verkan och skydd, interaktionen teknik-taktik. Engelsk benämning: Military-Technology, Weapons and Protection Technology

TNSL05, Optimering, Modellering och Planering 6 hp, HT2-2011

Portfölj (portfolio), T1, Stadium I, Läkarprogrammet, Örebro Universitet. Portfölj. Termin 1, Stadium I

G1N, Grundnivå, har endast gymnasiala förkunskapskrav

STATSVETENSKAPLIGA INSTITUTIONEN

Studiehandledning. KPP011, IT i ingenjörsarbetet 7,5 hp. 1 Bengt Gustafsson

Datum Kursens benämning: Grundkurs Militärteknik, Militära medel. Engelsk benämning: Basic Course Military Technology, Military means

Svenska som främmande språk Behörighetsgivande kurs i svenska 30 högskolepoäng

Poäng. Start v. DV1: Datavetenskapens byggstenar 7.5. Antal registrerade (män/kvinnor) 38 (38/0)

G2E, Grundnivå, har minst 60 hp kurs/er på grundnivå som förkunskapskrav, innehåller examensarbete för kandidatexamen

Föreläsning 1 Programmeringsteknik och C DD1316. Kurswebbsidan. Mål

Nätverksdrift, 120 hp

HANDLEDARGUIDE HANDLEDD VERKSAMHETSFÖRLAGD UTBILDNING (H-VFU) 28 HP, KURSKOD: 2SC117

Behörighetsgivande kurs i svenska 30 högskolepoäng

ÄMAD04, Matematik 4, 30 högskolepoäng Mathematics 4, 30 credits Grundnivå / First Cycle

Utbildningsplan för teknisk/naturvetenskaplig bastermin, 20 veckor, 2016

B. Förkunskapskrav och andra villkor för tillträde till kursen

Fakulteten för ekonomi, kommunikation och IT. Utbildningsplan. Högskoleingenjörsprogrammet i datateknik TGDDI

IT-forensiskt seminarium :00-14:15 D215

MEDFÖDDA HJÄRTFEL OCH BARN OC H UNGA 7.5HP

SOCA45, Sociologi: Klass, kön och etnicitet, 30 högskolepoäng Sociology: Class, Gender and Ethnicity, 30 credits Grundnivå / First Cycle

Objektorienterad Systemutveckling Period 3

Rehabiliteringsvetenskap GR (C), 30 hp

SÄRSKILD PRÖVNING I SVENSKA A

NSÄA30, Svenska III inom ämneslärarprogrammet, årskurs 7 9, 30 hp

Kursplanering Objektorienterad programmering

Kurs-PM HI2011, Programutveckling i funktionella och objektorienterande spra k, P3 VT17

Mall för att skapa och revidera kursplan

STOCKHOLMS UNIVERSITET HT 2010 Statistiska institutionen Linda Wänström (moment 1 och 2) Jörgen Säve-Söderbergh (moment 3 och 4)

Förslag till beslut/åtgärd

INSTITUTIONEN FÖR JOURNALISTIK, MEDIER OCH KOMMUNIKATION

JAEN61, Europeisk patenträtt, 15 högskolepoäng European Patent Law, 15 credits Avancerad nivå / Second Cycle

Kursbeskrivning för Ekonometri, 15 högskolepoäng

Ledarskap distans 7,5hp

Riktlinjer och mallar för betygskriterier inom grundutbildningen i biologi (beslutat av BIG: s styrelse den 13 juni 2007)

INSTITUTIONEN FÖR SOCIOLOGI OCH ARBETSVETENSKAP

PSYKOLOGISKA INSTITUTIONEN

SOCA13, Sociologi: Socialpsykologi, 30 högskolepoäng Sociology: Social Psychology, 30 credits Grundnivå / First Cycle

Samhällskunskap AV, Didaktisk inriktning , 30 hp

INSTITUTIONEN FÖR SPRÅK OCH LITTERATURER

PSYKOLOGISKA INSTITUTIONEN

INFC90, Informatik: Verksamhetsförlagd utbildning, 15 högskolepoäng Informatics: Traineeship, 15 credits Grundnivå / First Cycle

KURSPLAN. Kursens omfattning 55,5 högskolepoäng. Förkunskapskrav Antagen till Kungl. Konsthögskolans masterprogram i fri konst.

Transkript:

Datautvinning från digitala lagringsmedia, 7.5 hp Kursbeskrivning Mattias Weckstén Högskolan i Halmstad Våren 2010 Veckorna 12-21

1 Introduktion Datautvinning från digitala lagringsmedia är en grundläggande kurs i incidenthantering, med syfte att lägga en grund till fördjupande kurser i forensiska verktyg. Kursen löper över 7,5 hp halv fart och består av föreläsningar, inlämningsuppgifter och laborationer. Kontinuerligt uppdaterad information om kursen hittar du på: http://www.hh.se/dt2002 Följande personal kommer att jobba med kursen: Examinator Mattias Wecksten Kursansvarig Mattias Wecksten, anknytning 7396, rum F313 Övriga roller Labassistent

2 Kursens syfte och lärandemål Kursen ska ge studenten kunskaper om metoder relaterat till kriminaltekniska verktyg för att säkra och utvinna data från digitala lagringsmedia. Efter avslutad kurs ska studenten kunna: hantera några av de på marknaden förekommande verktygen för utvinning av data från digitala lagringsmedia. självständigt analysera ett system för vilket datautvinning ska ske. självständigt planera utvinning av data ur systemet baserat på en systemanalys. genomföra en praktisk datautvinning från ett givet system. 3 Kursens innehåll Kursen omfattar en teoretisk introduktion till datautvinning från digitala lagringsmedia vilket innebär: Översikt över: de på marknaden förekommande hårdvarorna inom området. de vanligaste dataformaten. de på marknaden förekommande verktygen för datautvinning. Metoder för: datautvinning från fysiska enheter så som hårddiskar eller cashminnen. datautvinning från logiska enheter så som epostsystem eller databaser. övervakning och logganalys. att dölja data. att kryptera data. att förhindra förändring av data. Analys av: informationsspridning och dess effekter. vanligt förekommande virus, maskar och trojaner och deras användningsområden. Praktiska övningar i datautvinning.

4 Kursmoment Här följer en detaljerad plan över kursens olika moment. I texten anges läsanvisningar kopplat till varje moment, kursiv läsning anges omgivet av parenteser. Vecka 12 F1 Kursintroduktion Vid detta tillfälle kommer kursen att presenteras av kursansvarig. Det blir en genomgång av den här kursbeskrivningen och du kan ställa frågor om det är något som är oklart. Formen för examinationsmomenten gås igenom och tidsramar för dessa fastslås. En översikt av ITforensikerns roll och arbetsuppgifter ges tillsammans med förutsättningarna för digital datautvinning. Föreläsningen avslutas med en demonstration av datautvinning från ett datorsystem. F2 Ämnesintroduktion Vad är en incident och hur identifierar man den? Hur utför man det preventiva arbetet? Förbered - 1 Läs utdrag 1 ur FörUndersökningsProtokollet (FUP) för målet Pirate Bay - Fundera på vad som sägs med bakgrund av dagens föreläsning - Fundera över vilka argument det finns för att använda checksummor? Hade man inte lika gärna kunnat jämföra hela filer med filer ur backupen? Läs kursboken s.1-73 Skriven uppgift A, 2000 tecken, Incidentkedjan i ett verkligt fall Hur fungerar MD5? Vilka svagheter har MD5? http://en.wikipedia.org/wiki/md5 http://www.faqs.org/rfcs/rfc1321.html http://www.win.tue.nl/hashclash/rogue-ca/

Vecka 13 F3 Initial respons Incidenten har inträffat! Vilken blir vår initiala respons? Förbered - 2 Läs kursboken s.75-92 + 217-237 Ni får ta till er avsnittet 10 (hårddisken) genom självstudier. Boken är en bra start men har några år på nacken. Er uppgift blir att hitta aktuell kompletterande information och sammanfatta detta i ett arbete. Skriven uppgift B, 2000-4000 tecken, Hur fungerar hårddisken ur ett IT-forensiskt perspektiv Vecka 14 O M T E N T A V E C K A

Vecka 15 F4 Forensisk duplicering Vad krävs för att kunna använda utvunnet data som bevis? F5 Analystekniker Hur analyserar man den inhämtade datan för att utvinna informationen? Förbered - 3 Läs utdrag 2 ur förhandlingsprotokollet för målet Pirate Bay - Jämför och granska de två experternas utlåtanden. Läs kursboken s.151-172 + 239-289 (155-157) Skriven uppgift C, 2000 tecken, Svagheter i två expertutlåtanden dcfldd http://www.forensicswiki.org/wiki/dcfldd http://linux.die.net/man/1/dcfldd dd http://www.linuxjournal.com/article/1320 Forensic Carving http://tinyurl.com/c9gahs A smart carving approach http://sandbox.dfrws.org/2006/mora/dfrws2006.pdf Reguljära uttryck http://www.regular-expressions.info/ AutoPsy http://www.irongeek.com/i.php?page=videos/autopsy1

Vecka 16 F6 Bevishantering När vi väl har skaffat oss bevisdata måste det hanteras korrekt under hela undersökningen. F7 Datainsamling - Windows Systemet är identifierat. Hur går vi tillväga för att säkra data med minimal åverkan? L1 Laboration Datautvinning, checksummor och kontaminering. Förbered - 4 Läs utdrag 3 och 4 från FUP och jämför hur man valt att dokumentera med bokens strategi. Uppgift D, Sätt samman en egen forensisk verktygslåda - Utgå från förslagen i boken - Samarbeta gärna i hela klassen - Dokumentera - Glöm inte att generera checksummor och kontrollera beroenden Läs kursboken s.197-213 + 95-124 Okända lösenord Rainbowtables Sandman http://en.wikipedia.org/wiki/password_cracking http://home.eunet.no/~pnordahl/ntpasswd/ http://www.openwall.com/john/interviews/sf-20060222-p1 http://en.wikipedia.org/wiki/rainbow_table http://tinyurl.com/6pmm7s

Vecka 17 F8 Datainsamling UNIX/ LINUX Hur skiljer sig datainsamling i UNIX/ LINUX från datainsamling i ett Windowssystem? F9 Routeranalys Vilka spår lämnas kvar i routrar och hur kan vi hantera den? L2 Laboration Datainsamling initial respons. Förbered - 5 Läs kursboken s.125-149 + 173-194 Hur används nmap http://revision3.com/hak5/wontyoubemyneighbor/ http://nmap.org/book/man.html http://nmap.org/bennieston-tutorial/

Vecka 18 F10 Analys av Windowsbaserade system Hur går man mest effektivt tillväga för att analysera ett Windowsbaserat datorsystem? F11 Analys av UNIX/ LINUX-baserade system Hur går man mest effektivt tillväga för att analysera ett UNIX/ LINUX-baserat datorsystem? Förbered - 6 Läs kursboken s.291-358 Thumbdrive-prints USB-device artefacts LiveView Windows eventlogs http://www.hak5.org/episodes/episode-425 http://tinyurl.com/yaz84ph http://www.hak5.org/episodes/episode-413 http://tinyurl.com/mnckds

Vecka 19 F12 Avlyssning Hur går avlyssning till, vad är syftet och vilka är begränsningarna? F13 Nätverksanalys Hur kan nyttig information utvinnas från den data vi avlyssnat? L3 Laboration Datautvinning av Windowssystem och data-analys i AutoPsy. Förbered - 7 Läs kursboken s.173-194 + 359-380 AdWare http://philosecurity.org/2009/01/12/interview-with-an-adware-author tcpdump http://openmaniak.com/tcpdump.php Antisniff http://seclists.org/bugtraq/1999/jul/0195.html FreeBSD http://en.wikipedia.org/wiki/freebsd Avlyssning http://www.dgonzalez.net/pub/roc/roc.pdf

Vecka 20 F14 Analys av hackerverktyg / forensisk rapport Hur går man tillväga om man stöter på ett helt nytt okänt hackerverktyg som infekterat ditt system? Vad skiljer mellan olika typer av rapporter. Hur skriver man rapport för en person som är expert på ett annat område än det IT-forensiska? L4 Laboration Analys av en trojan i ett Linuxsystem. Förbered - 8 Läs kursboken s.385-413 + 435-453 Zip bomb http://en.wikipedia.org/wiki/zip_bomb Hit by a bus http://storm.net.nz/static/files/ab_firewire_rux2k6-final.pdf Antiforensics --- TrueCrypt http://www.truecrypt.org/docs/ Sub7-analys i AutoPsy http://video.google.com/videoplay?docid=280510391858381437 Övningstentor

5 Kursmoment Obligatoriska moment För att få ut slutbetyg för genomförd kurs krävs att man: deltagit vid samtliga laborationer (4 stycken) med resultatet godkänd. skrivit tentamen med resultatet 3, 4 eller 5. Valfria moment De skrivna uppgifterna A-C och miniprojektet uppgift D är valfria. De som genomför momenten och blir godkända kommer att tillgodoräknas bonuspoäng om slutresultatet blir U eller 3 på den skriftliga tentamens ordinarie skrivtillfälle. Varje avklarat moment ger 4 bonuspoäng. 6 Betygskriterier För betyget 3 krävs att studenten kan: redogöra för grundläggande uttryck och begrepp. arbeta med förekommande forensiska verktyg. planera och genomföra datautvinning samt forensisk analys. För betyget 4 krävs att studenten dessutom kan: applicera och resonera runt grundläggande uttryck och begrepp. För betyget 5 krävs att studenten kan: analysera och argumentera runt givna situationer med utgångspunkt i grundläggande uttryck och begrepp. 7 Litteraturlista Kursens huvudlitteratur som finns att tillgå gratis på ebrary är: Mandia, Proise, Pepe, Incident Response & Computer Forensics, ISBN 0-07-222696-X Som referenslitteratur (användbar i flera kurser) rekommenderas: Jones, Bejtlich, Rose, Farmer, Venema, Carrier, The Computer Forensics Library, ISBN 0-321-52564-7

8 Tidsplanering För att underlätta er möjlighet att påverka er utbildning så följer här en översikt av hur stor del de olika momenten i kursen tar i anspråk. Timbudget Föreläsning Labbar Administration För att underlätta er studieplanering hittar du här en mall för studieplan. Studieplan för DT2002 0 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 11 12 F F F F 13 F F 14 15 F F F F 16 L L F F F F 17 L L F F F F 18 F F F F 19 L L F F F F 20 L L F F 21 F = Föreläsning L = Labb U = Uppgift A-D B = Inläsning T = Tentaprep. Varje ruta är en timma. Hela kursen är 200 timmar.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss