課程英文全稱(chēng)： Building an Investigation with EnCase Forensic?

課程中文全稱(chēng)：EnCase電子數據取證實(shí)戰及技能提升

課程編號：DF210 ??| ??CPE 分數： 32

課程級別: ?中級 ?|? 學(xué)習要求： 學(xué)員已完成學(xué)習DF120培訓課程

一、課程簡(jiǎn)介

該課程主要為掌握計算機基本技能、電子數據取證基礎及EnCase軟件應用的調查人員設計。課程是基于DF120課程要求的技能，讓調查員進(jìn)一步學(xué)習EnCase的特有功能，提升個(gè)人能力從而實(shí)現提高工作效率。學(xué)員必須掌握證據處理、證據文件結構、創(chuàng )建和使用案例、數據獲取方法、硬件寫(xiě)保護、網(wǎng)絡(luò )交叉線(xiàn)及盤(pán)到盤(pán)的證據獲取。此外，學(xué)員還需掌握FAT文件系統的刪除文件及文件夾的恢復、使用關(guān)鍵詞對物理介質(zhì)和邏輯介質(zhì)進(jìn)行搜索、創(chuàng )建和使用書(shū)簽、文件簽名和簽名分析、搜索及解析各種Windows痕跡數據。

二、參加對象

該課程主要面向IT安全專(zhuān)家、法律訴訟支持專(zhuān)家及電子數據取證調查員。參加此課程要求學(xué)員已參加過(guò)DF120課程。

三、課程學(xué)習內容

• 恢復加密信息（如Windows BitLocker加密磁盤(pán)中加密數據的提取）
• 查找及恢復已刪除分區
• 復合文件(Compound Files)的處理與分析
• Windows注冊表工作原理及數據分析
• 判斷系統使用的時(shí)區，掌握在案例中正確調整時(shí)區的方法
• 創(chuàng )建及使用條件表達式(Conditions)實(shí)現高效搜索
• EnCase證據處理器的配置與應用
• FAT/exFAT/NTFS文件系統概述
• 關(guān)鍵詞搜索技巧及GREP語(yǔ)法應用
• 邏輯證據文件及單一文件的創(chuàng )建與應用
• 識別Windows操作系統常見(jiàn)系統痕跡（如快捷方式文件、回收站及用戶(hù)文件夾等）
• 回收站(Recycle Bin)的數據恢復
• 系統殘留痕跡的恢復（如swap交換文件、文件殘留區、打印機脫機文件等）
• 電子郵件及附件的搜索方法及技巧
• 上網(wǎng)記錄及電子郵件相關(guān)痕跡的檢驗方法
• USB移動(dòng)設備的數據恢復