آموزش پاسخ حادثه: مجموعه شواهد در ویندوز

مقدمه Introduction

• شما هک شده اید You've been hacked

• آنچه باید قبل از گذراندن این دوره بدانید What you need to know before taking this course

• انجام یک پاسخ حادثه Conducting an incident response

1. آماده سازی برای پاسخ به حادثه 1. Preparing for an Incident Response

• آماده سازی در کلید موفقیت Preparation in the key to success

• دستگاههای ذخیره سازی در ویندوز Storage devices in Windows

• نصب تصویرگر FTK Installing FTK Imager

• نصب DD برای ویندوز Installing DD for Windows

• درایو جمع آوری مدارک خود را آماده کنید Preparing your evidence collection drive

• ایجاد درایو USB با ابزارهای قابل اعتماد Creating a USB drive with trusted tools

• اعتبار سنجی کیت ابزار قابل اعتماد ما Validating our trusted tool kit

2. دستیابی به اطلاعات بی ثبات 2. Volatile Data Acquisition

• مجموعه شواهد Evidence collection

• داده های فرار و غیر فرار Volatile and nonvolatile data

• به دست آوردن تصویر حافظه در ویندوز Acquiring a memory image in Windows

• به دست آوردن تصویر حافظه در ویندوز در DumpIt Acquiring a memory image in Windows in DumpIt

• با استفاده از CryptCat و Tee Using CryptCat and Tee

• جمع آوری داده ها / زمان قربانی Collecting the data/time of the victim

• مستندات ورود به سیستم در کاربران Documenting the logged on users

• مستند کردن اتصالات شبکه باز Documenting open network connections

• مستند سازی فرآیندهای در حال اجرا Documenting the running processes

• مستند سازی پرونده های مشترک Documenting any shared files

3. اکتساب داده های غیر فرار 3. Nonvolatile Data Acquisition

• مجموعه شواهد غیر فرار Nonvolatile evidence collection

• جمع آوری ویژگی های دیسک با استفاده از Disk Map Collecting disk attributes using Disk Map

• مستندسازی از مجموعه زنده Documenting completion of live collection

• تأیید داده های جمع آوری شده Verification of data collected

• خاموش شدن لطف Graceful shutdown

4- به دست آوردن شواهد از رسانه های ذخیره سازی 4. Acquiring Evidence from Storage Media

• مسدود کننده ها را بنویسید Write blockers

• فعال کردن مسدود کننده نوشتن نرم افزار در ویندوز Enabling a software write blocker in Windows

• تصویربرداری از درایو با FTK Imager Imaging a drive with the FTK Imager

• تصویربرداری از درایو با پزشکی قانونی Imager Imaging a drive with Forensic Imager

5- چالش هایی با رمزگذاری 5. Challenges with Encryption

• رمزگذاری در ویندوز Encryption in Windows

• تعیین اینکه BitLocker در حال اجرا است یا خیر Determining if BitLocker is running

• امنیت سیستم با BitLocker Securing a system with BitLocker

• اجرای BitLocker و رمز عبور بازیابی BitLocker implementation and recovery password

6. ثبت شواهد شما 6. Logging Your Evidence

• ایجاد گزارش Creating a report

• گزارش مثال Example report

نتیجه Conclusion

• مراحل بعدی Next steps