-
Startsida
-
Utbildning
Populärt inom utbildning
Vårt utbildningsutbud 2012-13
-
Forskning
Populärt inom forskning
Samspel - ett forskningsmagasin
-
Samverkan
Populärt inom samverkan
Samverka med Högskolan i Halmstad
-
Om Högskolan
Populärt inom om Högskolan
Ladda ned eller bläddra direkt i webbläsaren
-
Bibliotek
- Startsida
- » IDE
- » Utbildning
- » Är student
- » Kurshemsidor
- » Datautvinning från digitala lagringsmedia
Datautvinning från digitala lagringsmedia, 7.5 hp
Kursplan (pdf)
|
Kursbeskrivning (pdf, 99 kB)
|
|---|---|
| Kurstid: | Läsperiod 4, 2011 |
| Kurskod: | DT2002 |
| Kursen ingår i: | |
| Schema: | v12-21
|
| Kursansvarig: | Mattias Wecksten |
| Övrig personal: | |
| Examinator: | Mattias Wecksten |
| Vecka | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Föreläsning | T | 1 | 7+8 | 10 | 6 | 5 | OT | 14+9 | 16 | T | |
| Föreläsning | T | 1'+2'+2 | 3+4 | 12 | 11 | 13 | OT | 15 | 17' | T | |
| Labb | T | L1 | L2 | OT | L3 | L4 | T | ||||
| Projekt | T | OT | Ö | Ö | Ö | T |
Feedbackformulär
Tenta
Facit
(pdf, 800 kB)Hur räknas bonus?
Uppgift A-D => G = 3p
Uppgift 1-8 => G = 3p
Uppgift 9-12 => 0-3p
Bonusgräns = 27 p
Föreläsningar
F1 - Kursintroduktion
25/3 10:15 F2 - Incidenthantering / Bevis, lagar och regler
29/3 13:15 F3 - Diskar och organisation av lagringsmedia
1/4 10:15 F4 - Bevisdynamik och intervju
5/4 13:15 F5 - Verktygslådan
8/4 10:15 F6 - Avbildning
12/4 13:15 F7 - Volatil data
15/4 10:15 F8 - Utvinning av volatil data
19/4 13:15 F9 - Nätverk
21/4 08:15 F10 - Stora system
-= O M T E N T A V E C K A =-
3/5 13:15 F11 - Flyttbara enheter och portabelt media
5/5 08:15 F12 - Forensisk arbetsstation
Del 210/5 13:15 F13 - Forensiska labbet
13/5 10:15 F14 - Rapportskrivning
-= E X T R A F Ö R E L Ä S N I N G A R =-
19/5 00:00 F15 - Sökning
19/5 00:00 F16 - Hashanalys
19/5 00:00 F17 - Signaturanalys och carving
Extra föreläsningar och experiment
Vilka filer ändras om vi startar och stänger av ett WindowsXP-system?
Vad kontamineras vid liveutvinning?
Full kontroll över diskarna med DBAN och dd
Diskavbild i EnCase
Användning av TrueCrypt
Användning av netcat
Scriptad initial respons
Virtualisering av datorsystem
Mätning av hårddiskprestanda
Utvinning av lösenord från RAM
Utvinning av volatilt minne via FireWire
Övningar
Kapacitet vid avlyssning 1
Kapacitet vid avlyssning 2
Tidsåtgång vid avbildning 1
(errata: t_s=100 h, inte 10 h)Tidsåtgång vid avbildning 2
Tidsåtgång vid avbildning 3
(errata: *c, inte /c)Tidsåtgång vid avbildning 4
Skrivna uppgifter
Sammanfattning 7+8
Sammanfattning 3+4
Sammanfattning 10
Sammanfattning 12
Sammanfattning 6
Sammanfattning 11
Sammanfattning 5
Sammanfattning 13
Frågor 14+9
Frågor 15
Frågor 16
frågor 17*
Uppgift A - "Svagheter i två expertutlåtanden" >Stängd<
Uppgift B - "Lagringsmedia ur en forensiskers perspektiv" >Stängd<
Uppgift C - Ett riktigt fall >Stängd<
Uppgift D - En IT-forensisk verktygslåda >Stängd<
Praktiska uppgifter
Uppgift PA - Praktisk utvinning från minneskort eller hårddisk. Ingen bonus.
Uppgift PB
(pdf, 120 kB) - Praktisk undersökning av ramdump. Upp till 50% av betyg 4.Labbar
Lab 1 - Checksummor och kontaminering (uppdaterat labb-pm
(pdf, 23 kB))Grundläggande datautvinning genomförs med förekommande verktyg för uppgiften. Checksummor och oavsiktlig kontaminering sätts i ett sammanhang.
Lab 2 - Datainsamling och initial respons (uppdaterat labb-pm (pdf, 28 kB), script_base_v1.bat)
Vad gör vi när vi möts av ett körande system? Hur genomför vi så kallad live-utvinning?
Lab 3 - Datautvinning av Windowssystem och data-analys (pdf, 39 kB)
Vi tittar på datautvinning för Windowssystem och tar steget vidare från avbilder till att göra analys.
Lab 4 - Test av ett okänt forensiskt verktyg (pdf, 110 kB)
Vi tittar på Digital Forensic Framework och försöker upprepa labb 3.
Länk till DFF Wiki FAQ Quick-start-guide
Video från genomförandet finns under sidofliken.
Labbbokning
Kurslitteratur
Brown, Christopher. Computer Evidence: Collection and Preservation. 2. uppl., Course Technology, 2010
Ref: Incident Response
Fördjupningsmaterial
