課程英文全稱： Foundations in Digital Forensics with EnCase? Forensic?

課程中文名稱： EnCase電子數(shù)據(jù)取證基礎(chǔ)及軟件應(yīng)用

課程編號：DF120 ??| ??CPE 分數(shù)： 32

課程級別: 入門到中級 ?| 學(xué)習(xí)要求：計算機操作基本技能

?

一、課程簡介

該課程涵蓋了EnCase Forensic v8取證軟件的動手操作及實際案件的模擬練習(xí)。學(xué)員將學(xué)習(xí)掌握電子證據(jù)的處理，包括計算機/介質(zhì)的搜查、數(shù)據(jù)獲取基本概念以及電子證據(jù)的在線獲取，然后進一步學(xué)習(xí)對數(shù)據(jù)的分析方法、基本的報告制作、證據(jù)存檔、數(shù)據(jù)校驗以及案例的還原方法。

二、參加對象

該課程主要面向電子數(shù)據(jù)取證調(diào)查員，包括執(zhí)法人員、政府、軍隊、企業(yè)、IT安全及法律訴訟支持專家。要求學(xué)員必須具備基本的計算機操作技能，不要求具備計算機取證相關(guān)經(jīng)驗。

?

三、課程學(xué)習(xí)內(nèi)容

• EnCase電子數(shù)據(jù)取證方法
• EnCase取證軟件的基本操作
• 案例創(chuàng)建以及如何獲取和預(yù)覽介質(zhì)中的數(shù)據(jù)
• 如何從證據(jù)中提取數(shù)據(jù)和文件
• 如何對證據(jù)文件、文件集(File sets)及數(shù)據(jù)結(jié)構(gòu)進行書簽標注
• 如何執(zhí)行原生數(shù)據(jù)搜索(Raw Search)及索引搜索(Index Search)
• 如何進行文件簽名分析及查看 文件
• 如何執(zhí)行哈希、信息熵(entropy)分析以及哈希集(Hash set)導(dǎo)入
• 如何從VIC項目導(dǎo)入和導(dǎo)出數(shù)據(jù)
• 如何為EnCase安裝和配置外部文件查看器
• 如何在未分配空間中搜索定位數(shù)據(jù)
• 如何用EnCase內(nèi)置的模板準備報告
• 如何創(chuàng)建報告模板
• 如何還原證據(jù)
• 如何對分析處理后的數(shù)據(jù)及文件進行存檔
• 證據(jù)保全及證據(jù)處理的正確技巧