Datautvinning från digitala lagringsmedia Kursplan Mål Kunna hantera förekommande verktyg Kunna göra systemanalys, datautvinning och dataanalys Kunna sammanställa resultat i en rapport Innehåll Översikt Förekommande hårdvara Dataformat Förekommande verktyg Metoder Fysisk datautvinning Logisk datautvinning Övervakning/ logganalys Dölja/ kryptera data Förhindra förändring Analys av Informationsspridning Virus, maskar, trojaner Praktiska övningar Skriftlig tentamen Översikt Fyra huvudsakliga delar Responsprocessen Översikt Datainhämtning Verktyg Hårdvara Analys Verktyg Metoder Rapportering Metoder
Schema v. 12 F1 - Kursintroduktion, F2 Ämnesintroduktion v. 13 F3 - Initial respons v. 14 OMTENTAVECKA v. 15 F4 - Duplicering, F5 Analystekniker v. 16 F6 - Bevishantering, F7 - Datainsamling Windows v. 17 F8 - Datainsamling LINUX/ UNIX, F9 Routeranalys v. 18 F10 - Analys av Windowsbaserade system, F11 - Analys av LINUX/ UNIX-baserade system v. 19 F12 - Avlyssning, F13 Nätverksanalys v. 20 F14 - Analys av hackerverktyg/ Rapportskrivning Skrivna uppgifter A Incidentkedjan i ett verkligt fall B Hur fungerar hårddisken ur ett IT-forensiskt perspektiv C Svagheter i två expertutlåtanden D Sätt samman en egen forensisk verktygslåda Laborationer 1. Datautvinning, checksummor och kontaminering 2. Datautvinning initial respons 3. Datautvinning av Windowssystem och data-analys i AutoPsy. 4. Analys av en trojan i ett Linuxsystem.
Litteratur Mandia et al., Incident response & computer forensics. Finns på Ebrary via länk på hemsidan. Referenslitteratur Schweitzer, Incident response computer forensics toolkit (amerikansk lag) Zaenglein, Secret software (översikt) Chase, PC disaster and recovery (hårdvarureferens) Kursbudget Timbudget Föreläsning Labbar Administration Studieplan Studieplan för DT2002 11 0 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 12 F F F F 13 F F 14 15 F F F F 16 L L F F F F 17 L L F F F F 18 F F F F 19 L L F F F F 20 L L F F 21 F = Föreläsning L = Labb U = Uppgift A-D B = Inläsning T = Tentaprep. Varje ruta är en timma. Hela kursen är 200 timmar.
Kursen i helheten Vad ska vi lära oss och hur passar det in i en framtida yrkesroll? IT-forensikern IT-forensikern Teknikspecialist
IT-forensikern Analytiker IT-forensikern Analytiker Juridiskt kunnig IT-forensikern Teknikspecialist Teknikspecialist Teknikspecialist Analytiker Juridiskt kunnig Pedagog
IT-forensikern Teknikspecialist Analytiker Juridiskt kunnig Pedagog IT-forensiska uppdrag IT-forensiska uppdrag Preventiv teknik
IT-forensiska uppdrag Preventiv teknik Policy IT-forensiska uppdrag Preventiv teknik Policy Strategi IT-forensiska uppdrag Preventiv teknik Policy Strategi Incident
IT-forensiska uppdrag Preventiv teknik Policy Strategi Incident Datautvinning vad är det? Vilka spår lämnar du efter dig om du
raderar en fil? formaterar en hårddisk? redigerar text utan att spara?
använder ett USB-minne? Filer på hårddisken Hårddisk = Pärm med register Skriva fil = Sätta in dokument Radera fil = Sudda i reg. Formatera = Nytt reg. Datautvinning: raderad fil Återskapa register Leta för hand Återskapa data
Datautvinning: formaterad hårddisk Återskapa register Analysera data Datautvinning: MS Word-tempfil Windows konfigurationsdatabas
Metadata Frågeställning: Vem ansvarar för raderad information? Vilken information sipprar ut? Vilka etiska aspekter måste beaktas? Är du beredd när incidenten väl inträffar? IT-forensik och informationssäkerhet, 120/180 hp Termin 1 Termin 2 Introduktion till Kriminologi och Programmering Datautvinning från IT-forensik IT- relaterad brottslighet digitala lagringsmedia År 1 Administration av Administration av Grundläggande Juridik med IT- rätt datorsystem operativsystem websystem Termin 3 Termin 4 Biometrisk identifiering Trådlösa nätverk Avancerade IT- foren- Utredning av IT- brott siska verktyg I eller Examensarbete År 2 Nätverkssäkerhet Riskanalys och Datornätverk I Datornätverk II IT- säkerhetssystem Termin 5 Termin 6 Avancerade IT- foren- Underrättelseverksamhet Examensarbete År 3 siska verktyg II och spårning på internet Tillämpad matematik och statistik Krypteringsmetoder och Valbar kurs säkring av datasystem