課程英文全稱： Building an Investigation with EnCase Forensic?

課程中文全稱：EnCase電子數(shù)據(jù)取證實(shí)戰(zhàn)及技能提升

課程編號(hào)：DF210 ??| ??CPE 分?jǐn)?shù)： 32

課程級(jí)別: ?中級(jí) ?|? 學(xué)習(xí)要求： 學(xué)員已完成學(xué)習(xí)DF120培訓(xùn)課程

一、課程簡(jiǎn)介

該課程主要為掌握計(jì)算機(jī)基本技能、電子數(shù)據(jù)取證基礎(chǔ)及EnCase軟件應(yīng)用的調(diào)查人員設(shè)計(jì)。課程是基于DF120課程要求的技能，讓調(diào)查員進(jìn)一步學(xué)習(xí)EnCase的特有功能，提升個(gè)人能力從而實(shí)現(xiàn)提高工作效率。學(xué)員必須掌握證據(jù)處理、證據(jù)文件結(jié)構(gòu)、創(chuàng)建和使用案例、數(shù)據(jù)獲取方法、硬件寫保護(hù)、網(wǎng)絡(luò)交叉線及盤到盤的證據(jù)獲取。此外，學(xué)員還需掌握FAT文件系統(tǒng)的刪除文件及文件夾的恢復(fù)、使用關(guān)鍵詞對(duì)物理介質(zhì)和邏輯介質(zhì)進(jìn)行搜索、創(chuàng)建和使用書簽、文件簽名和簽名分析、搜索及解析各種Windows痕跡數(shù)據(jù)。

二、參加對(duì)象

該課程主要面向IT安全專家、法律訴訟支持專家及電子數(shù)據(jù)取證調(diào)查員。參加此課程要求學(xué)員已參加過(guò)DF120課程。

三、課程學(xué)習(xí)內(nèi)容

• 恢復(fù)加密信息（如Windows BitLocker加密磁盤中加密數(shù)據(jù)的提?。?/li>
• 查找及恢復(fù)已刪除分區(qū)
• 復(fù)合文件(Compound Files)的處理與分析
• Windows注冊(cè)表工作原理及數(shù)據(jù)分析
• 判斷系統(tǒng)使用的時(shí)區(qū)，掌握在案例中正確調(diào)整時(shí)區(qū)的方法
• 創(chuàng)建及使用條件表達(dá)式(Conditions)實(shí)現(xiàn)高效搜索
• EnCase證據(jù)處理器的配置與應(yīng)用
• FAT/exFAT/NTFS文件系統(tǒng)概述
• 關(guān)鍵詞搜索技巧及GREP語(yǔ)法應(yīng)用
• 邏輯證據(jù)文件及單一文件的創(chuàng)建與應(yīng)用
• 識(shí)別Windows操作系統(tǒng)常見(jiàn)系統(tǒng)痕跡（如快捷方式文件、回收站及用戶文件夾等）
• 回收站(Recycle Bin)的數(shù)據(jù)恢復(fù)
• 系統(tǒng)殘留痕跡的恢復(fù)（如swap交換文件、文件殘留區(qū)、打印機(jī)脫機(jī)文件等）
• 電子郵件及附件的搜索方法及技巧
• 上網(wǎng)記錄及電子郵件相關(guān)痕跡的檢驗(yàn)方法
• USB移動(dòng)設(shè)備的數(shù)據(jù)恢復(fù)