Блок 1. Windows
Артефакты получения доступа к системе
📄 3.1 Артефакты работы с email и инструменты их исследования
⚙️ Практическая работа. Анализ артефактов работы с email в Windows
📄 3.2 Артефакты работы с сетью «Интернет» и инструменты их исследования
⚙️ Практическая работа. Поиск подозрительной активности по артефактам браузера
📄 3.3. Артефакты подключения USB-носителей и инструменты их исследования
📄 3.4 Артефакты удалённого подключения и особенности их исследования
⚙️ Практическая работа. Поиск артефактов удалённого подключения на Windows
Артефакты запуска
📄 3.5 Prefetch-файлы
⚙️ Практическая работа. Исследование активности в системе по Prefetch-файлам
📄 3.6 Windows Timeline и SRUM
📄 3.7 BAM/DAM, UserAssist и RunMRU
📄 3.8 Amcache и Shimcache
⚙️ Практическая работа. Исследование активности в системе по Amcache и Shimcache
📄 3.9 Shell Items: LNK-файлы, Jump-листы и Shellbags
Артефакты закрепления в системе
📄 3.10 Артефакты закрепления в системе
⚙️ Практическая работа. Поиск следов закрепления в Windows
Артефакты перемещения по внутренней сети
📄 3.11 Артефакты перемещения по внутренней сети
⚙️ Практическая работа. Поиск следов перемещения по внутренней сети Windows
Отдельные системные источники данных
📄 3.12 Теневые копии Windows
📄 3.13 Журналы Windows: агрегация и ключевые артефакты использования пользовательских аккаунтов
⚙️ Практическая работа. Поиск подозрительных событий в журналах Windows
📄 3.14 Работа с файловой системой
▶️ Скринкаст
⚙️ Практическая работа. Восстановление хронологии событий в системе по MFT файлу
✅Тест
Блок 2. Linux
📄 3.15 Основные полезные команды для поиска и анализа файлов и журналов
📄 3.16 Основные журналы и сведения, содержащиеся в них
⚙️ Практическая работа. Поиск подозрительных событий в журналах Linux
📄 3.17 Артефакты закрепления
⚙️ Практическая работа. Поиск следов закрепления в системе в Linux
Блок 3. MacOs
📄 3.18 Основные журналы MacOS
▶️ Скринкаст
📄 3.19 Артефакты основных стадий атаки на MacOS
✅Тест
Отдельные общие методы исследования
📄 3.20 Анализ дампов оперативной памяти. Volatility: как работать, различия в версиях
▶️ Скринкаст
⚙️ Практическая работа. Исследование дампа оперативной памяти машины на ОС Windows
📄 3.21 Анализ вредоносных файлов. Азы реверс-инжиниринга
📄 3.22 Работа с вредоносными офисными файлами
⚙️ Практическая работа. Исследование вредоносного документа
📄 3.23 Intelligence-driven реагирование на инциденты. Основы атрибуции атакующих и специфика реагирования
⚙️ Практическая работа. Поиск информации по индикатору
✅ Тест
🗣️ Вебинар. Приоритезируем исследование артефактов (решение гипотетических мини-кейсов, обсуждение вопросов анализа)