課程英文全稱： Building an Investigation with EnCase Forensic?

課程中文全稱：EnCase電子數(shù)據(jù)取證實戰(zhàn)及技能提升

課程編號：DF210 ??| ??CPE 分數(shù)： 32

課程級別: ?中級 ?|? 學習要求： 學員已完成學習DF120培訓課程

一、課程簡介

該課程主要為掌握計算機基本技能、電子數(shù)據(jù)取證基礎及EnCase軟件應用的調查人員設計。課程是基于DF120課程要求的技能，讓調查員進一步學習EnCase的特有功能，提升個人能力從而實現(xiàn)提高工作效率。學員必須掌握證據(jù)處理、證據(jù)文件結構、創(chuàng)建和使用案例、數(shù)據(jù)獲取方法、硬件寫保護、網(wǎng)絡交叉線及盤到盤的證據(jù)獲取。此外，學員還需掌握FAT文件系統(tǒng)的刪除文件及文件夾的恢復、使用關鍵詞對物理介質和邏輯介質進行搜索、創(chuàng)建和使用書簽、文件簽名和簽名分析、搜索及解析各種Windows痕跡數(shù)據(jù)。

二、參加對象

該課程主要面向IT安全專家、法律訴訟支持專家及電子數(shù)據(jù)取證調查員。參加此課程要求學員已參加過DF120課程。

三、課程學習內容

• 恢復加密信息（如Windows BitLocker加密磁盤中加密數(shù)據(jù)的提取）
• 查找及恢復已刪除分區(qū)
• 復合文件(Compound Files)的處理與分析
• Windows注冊表工作原理及數(shù)據(jù)分析
• 判斷系統(tǒng)使用的時區(qū)，掌握在案例中正確調整時區(qū)的方法
• 創(chuàng)建及使用條件表達式(Conditions)實現(xiàn)高效搜索
• EnCase證據(jù)處理器的配置與應用
• FAT/exFAT/NTFS文件系統(tǒng)概述
• 關鍵詞搜索技巧及GREP語法應用
• 邏輯證據(jù)文件及單一文件的創(chuàng)建與應用
• 識別Windows操作系統(tǒng)常見系統(tǒng)痕跡（如快捷方式文件、回收站及用戶文件夾等）
• 回收站(Recycle Bin)的數(shù)據(jù)恢復
• 系統(tǒng)殘留痕跡的恢復（如swap交換文件、文件殘留區(qū)、打印機脫機文件等）
• 電子郵件及附件的搜索方法及技巧
• 上網(wǎng)記錄及電子郵件相關痕跡的檢驗方法
• USB移動設備的數(shù)據(jù)恢復