FOR585: Análise Forense de Smartphone em Profundidade (36 CPEs)

Um smartphone chega à sua mesa e você tem a tarefa de determinar se o usuário estava em um local específico em uma data específica e em um horário específico. Você confia em suas ferramentas forenses para despejar e analisar os dados. As ferramentas mostram informações de localização que ligam o dispositivo ao local de interesse. Você está pronto para provar que o usuário estava naquele local? Você sabe como levar isso adiante para colocar o assunto no local de interesse naquela data específica e naquele momento? Pise com cuidado, pois o usuário pode não ter feito o que as ferramentas estão mostrando!Este curso forense de smartphone aprofundado fornece aos examinadores e investigadores habilidades avançadas para detectar, decodificar, descriptografar e interpretar corretamente as evidências recuperadas de dispositivos móveis. Os dispositivos móveis costumam ser um fator-chave em casos criminais, invasões, roubo de IP, ameaças à segurança, reconstrução de acidentes e muito mais. Entender como aproveitar os dados do dispositivo de maneira correta pode fazer ou quebrar seu caso e seu futuro como especialista. FOR585: Análise Forense de Smartphone em Profundidade lhe ensinará essas habilidades.Toda vez que o smartphone “pensa” ou faz uma sugestão, os dados são salvos. É fácil se confundir com o que as ferramentas forenses estão relatando. A análise forense de smartphones é mais do que pressionar o botão “encontrar evidências” e obter respostas. Sua equipe não pode se dar ao luxo de confiar apenas nas ferramentas do seu laboratório. Você precisa entender como usá-los corretamente para orientar sua investigação, em vez de apenas deixar a ferramenta relatar o que acredita ter acontecido no dispositivo. É impossível que ferramentas comerciais analisem tudo de smartphones e entendam como os dados foram colocados no dispositivo. O exame e a interpretação dos dados é seu trabalho e este curso fornecerá a você e sua organização a capacidade de encontrar e extrair as evidências corretas de smartphones com confiança.O FOR585 apresenta 31 laboratórios práticos, um desafio forense e um caso bônus para levar para casa que permite que os alunos analisem diferentes conjuntos de dados de dispositivos inteligentes e aproveitem as melhores ferramentas forenses, métodos e scripts personalizados para aprender como os dados do smartphone se escondem e podem ser facilmente mal interpretado por ferramentas forenses. Cada laboratório é projetado para ensinar uma lição que pode ser aplicada a outros smartphones. Você ganhará experiência com os diferentes formatos de dados em várias plataformas e aprenderá como os dados são armazenados e codificados em cada tipo de dispositivo inteligente. Os laboratórios abrirão seus olhos para o que você está perdendo confiando 100% em suas ferramentas forenses.Este curso intensivo de seis dias é continuamente atualizado para acompanhar os mais recentes malwares, sistemas operacionais de smartphones, aplicativos de terceiros, deficiências de aquisição, técnicas de extração (jailbreaks e raízes), malware e criptografia. O FOR585 oferece as instruções mais exclusivas e atuais do planeta e fornecerá conhecimento forense de dispositivos móveis que você pode aplicar imediatamente aos casos em que estiver trabalhando no dia em que voltar ao trabalho.As tecnologias de smartphones estão mudando constantemente, e a maioria dos profissionais forenses não está familiarizada com os formatos de dados de cada tecnologia. Leve suas habilidades para o próximo nível: é hora dos mocinhos ficarem mais espertos e dos bandidos saberem que sua atividade no smartphone pode e será usada contra eles!

Treinamento práticoO FOR585 apresenta 31 laboratórios práticos e um desafio forense final para garantir que os alunos não apenas aprendam o material, mas também possam executar técnicas para recuperar dados manualmente. Alguns laboratórios permitem que você “escolha sua própria aventura” para que os alunos que precisem se concentrar em um dispositivo específico possam selecionar laboratórios relevantes e voltar para os outros conforme o tempo permitir. Os laboratórios abrangem os seguintes tópicos:Malware e Spyware — Dois laboratórios são projetados para ensinar os alunos a identificar, descompilar manualmente e analisar malware recuperado de um dispositivo Android. Os processos usados ??aqui vão além dos kits e métodos forenses comerciais. Arquivos IPA e APK de bônus são fornecidos para prática. Dois laboratórios de bônus adicionais estão disponíveis no USB.Análise do Android — Quatro laboratórios são projetados para ensinar os alunos a decifrar manualmente dispositivos bloqueados, extrair dados excluídos, validar resultados de ferramentas, colocar o usuário atrás de um artefato e analisar arquivos de aplicativos de terceiros para dados criados pelo usuário que normalmente não são analisados ??por ferramentas forenses comerciais. Métodos de código aberto são utilizados e destacados sempre que possível. Um laboratório adicional ensina os alunos a decifrar manualmente códigos de bloqueio de dispositivos Android. Um laboratório de bônus incentiva os alunos a interagir manualmente com um dispositivo ao vivo para obter informações relevantes usando métodos gratuitos.Análise do iOS – Cinco laboratórios são projetados para ensinar os alunos a esculpir manualmente dados excluídos, validar resultados de ferramentas, analisar manualmente plists e bancos de dados de interesse e analisar arquivos de aplicativos de terceiros para dados criados pelo usuário que não são normalmente analisados ??por ferramentas forenses comerciais . Além disso, os métodos para “enganar” suas ferramentas para analisar dados de imagens criptografadas são incorporados aos laboratórios. Um laboratório de bônus incentiva os alunos a interagir manualmente com um dispositivo ao vivo para obter informações relevantes usando métodos gratuitos. Existem outros laboratórios iOS de bônus no curso USB.Análise de arquivos de backup — Três laboratórios são projetados para ensinar os alunos a analisar dados de arquivos de backup iOS e Android. Esses laboratórios levarão os alunos a analisar dados de bancos de dados, plists e dados de aplicativos de terceiros. Um laboratório de bônus sobre backups do BlackBerry é fornecido.Análise de telefone apagado — Este é um dos laboratórios mais desafiadores para os alunos, pois o dispositivo usado será apagado antes da aquisição. Os alunos poderão testar todos os métodos que aprenderam durante o curso para ver o que realmente pode ser recuperado de um smartphone apagado.Análise do BlackBerry 10 — Este laboratório abrangente oferece aos alunos a chance de vincular mídia externa (cartões SIM) a um dispositivo, entender como os dados são gravados e analisados ??manualmente e entender como os aplicativos do BlackBerry 10 diferem do Android e do iOS. Você será capaz de identificar um BlackBerry executando aplicativos Android? Os métodos usados ??neste laboratório serão aplicados a outros smartphones que contenham cartões SIM e utilizem aplicativos de terceiros (Android, Windows Phone, Nokia etc.)Knock-off Phone Analysis — Este laboratório se concentra no manuseio de dispositivos falsificados, no entendimento do sistema de arquivos e na decodificação dos dados não analisados ??por ferramentas comerciais.Análise de aplicativos de terceiros — Esses laboratórios desafiam os alunos a examinar aplicativos de terceiros extraídos de vários dispositivos de smartphone e analisar manualmente aplicativos que não são normalmente analisados ??por ferramentas comerciais.Analisando bancos de dados de aplicativos — Esses três laboratórios oferecem aos alunos a oportunidade de escrever consultas SQL para analisar tabelas de interesse e recuperar anexos associados a bate-papos, bate-papos excluídos e dados de aplicativos de bate-papo seguros. Os laboratórios desafiarão os alunos a irem além do que uma ferramenta comercial pode oferecer.Análise do navegador — Este laboratório se concentra em mostrar semelhanças e diferenças entre artefatos de navegadores de computador e dispositivos móveis. Suas ferramentas comerciais podem ser boas para analisar algumas evidências, mas este laboratório destacará o que está faltando!Smartphone Forensic Capstone — O desafio final testa tudo o que os alunos aprenderam no curso. Possui vários dispositivos de smartphone usados ??em vários locais envolvendo comunicação, aplicativos de terceiros, histórico da Internet, atividade de nuvem e rede, dados compartilhados e muito mais. O exercício incentiva os alunos a se aprofundarem e mostrarem o que aprenderam no FOR585 para que possam aplicá-lo imediatamente ao seu trabalho ao retornar ao trabalho.O que o aluno vai receberEstação de trabalho Windows SIFT de análise de smartphoneUma máquina virtual FOR585 SIFT Windows (versão para smartphone) é usada com todos os exercícios práticos para ensinar os alunos a examinar e investigar informações em smartphones. A máquina virtual FOR585 projetada para este curso contém ferramentas gratuitas e de código aberto, scripts personalizados e comunitários, ferramentas comerciais usadas na aula e ferramentas de bônus que podem ajudar em suas investigações.Licenças de ferramentas de análise de smartphonesLicença UFED4PCLicença de Analisador FísicoLicença BlackLightLicença Magnet AXIOMLicença Elcomsoft Cloud eXplorerLicença Elcomsoft Phone Password BreakerLicença do visualizador de telefone ElcomsoftParabeno E3Ferramentas de código abertoFerramentas de aquisição de bônus (mediante solicitação)Ferramentas SQLite de bônus (mediante solicitação)Duas (2) – 64 GB de imagens USB/ISO do cursoEstação de trabalho SIFT FOR585 WindowsDados forenses Capstone, laboratórios de bônus, material de curso de bônus, utilitários, arquivos IPA/APK de bônus e outras documentaçõesManual de exercícios forenses para smartphones avançados da SANSO livro de exercícios do curso (eWorkbook) está repleto de perguntas e cenários e contém instruções detalhadas passo a passo e exemplos para ajudá-lo a se tornar um melhor exame de smartphoneRequisitos do laptopImportante! Configure o seu equipamento de acordo com estas instruções!É necessário um sistema devidamente configurado para participar plenamente deste curso. Se você não ler atentamente e seguir estas instruções, provavelmente sairá da aula insatisfeito porque não poderá participar de exercícios práticos essenciais para este curso. Portanto, recomendamos fortemente que você chegue com um sistema que atenda a todos os requisitos especificados para o curso.Isso é senso comum, mas vamos dizer assim mesmo: Faça backup do seu sistema antes da aula. Melhor ainda, não tenha nenhum dado sensível armazenado no sistema. SANS não pode ser responsável por seu sistema ou dados.Para mais informações sobre os requisitos de hardware e software, clique aquiCertificação GIAC Forense de smartphones avançadosA popularidade dos dispositivos móveis em nosso trabalho e vida pessoal tornou-se cada vez mais ampla e complexa. O volume e o tipo de dados que esses dispositivos carregam, como listas de contatos, e-mail, documentos de trabalho, mensagens SMS, imagens, histórico de navegação na Internet e dados específicos do aplicativo, os tornam importantes para o indivíduo que carrega o dispositivo e permitem uma rica fonte de dados para exames forenses.Fundamentos de forense móvel e realização de exames forensesAnálise do sistema de arquivos do dispositivo e comportamento do aplicativo móvelAnálise de artefatos de eventos e identificação e análise de malware de dispositivos móveisPara mais detalhes sobre a certificação GIAC Advanced Smartphone Forensics (GASF), clique aqui

SEÇÃO 1: Visão geral do smartphone, dispositivos desajustados, introdução ao SQLite e visão geral do Android ForenseA estação de trabalho SIFT; Introdução aos Smartphones; Manuseio de Smartphones; Conceitos de Aquisição Forense de Smartphones; Componentes de smartphones; Visão Geral da Ferramenta Forense para Smartphone – Analisador Físico; Visão geral da ferramenta forense para smartphones – AXIOM; Introdução ao SQLite; Visão geral forense do Android; Arquivos de backup do Android; Dados e extrações do Google CloudSEÇÃO 2: Android ForenseConsiderações de aquisição do Android; Estruturas do sistema de arquivos Android; Manipulação de dispositivos Android bloqueados; Locais Probatórios Android; Traços de atividade do usuário em dispositivos AndroidSEÇÃO 3: Forense de dispositivos iOSVisão geral e aquisição forense do iOS; Estruturas do sistema de arquivos iOS; Locais de prova do iOS; Manipulação de dispositivos iOS bloqueados; Traços de atividade do usuário em dispositivos iOSSEÇÃO 4: Backups do iOS, Malware e Spyware Forense e Detecção de Destruição de EvidênciasForense de arquivos de backup do iOS; Arquivos de backup iOS bloqueados; Extração e Análise de Dados do iCloud; Malware e Spyware Forense; Detecção de Destruição de EvidênciasSEÇÃO 5: Análise de aplicativos de terceirosVisão geral de aplicativos de terceiros; Artefatos de Aplicativos de Terceiros; Aplicativos de Mensagens e Recuperação de Anexos; Navegadores móveis; Aplicativos de bate-papo seguroSEÇÃO 6: Exercício básico de forense para smartphoneIdentificação e Escopo; Perícia Forense; Reconstrução Forense

Não há pré-requisito para este curso, mas uma compreensão básica das estruturas e terminologia de arquivos forenses digitais ajudará o aluno a compreender tópicos mais avançados. O treinamento anterior de fornecedores em aquisição forense de dispositivos móveis também é útil, mas não obrigatório. Não ensinamos métodos básicos de aquisição em sala de aula, mas fornecemos instruções sobre eles no material do curso de bônus. Esta aula se concentra na análise, métodos avançados de acesso e compreensão de artefatos de smartphones.

FOR585: Análise Forense de Smartphone em Profundidade ajudará você a entender:Onde as principais evidências estão localizadas em um smartphone;Como os dados chegaram ao smartphone;Como recuperar dados de dispositivos móveis excluídos que as ferramentas forenses perdem;Como decodificar evidências armazenadas em aplicativos de terceiros;Como detectar, descompilar e analisar malware e spyware móvel;Terminologia e técnicas avançadas de aquisição para obter acesso a dados em smartphones;Como lidar com dispositivos, aplicativos e contêineres bloqueados ou criptografados;Como examinar corretamente os bancos de dados que contêm artefatos de aplicativos e dispositivos móveis;Como criar, validar e verificar as ferramentas em relação a conjuntos de dados reais.