שיעור 1בניית ציר זמן: נרמול חותמות זמן, קישור בין מקורות, כלי ציר זמן (PLASO/Timesketch) ומתודולוגיהחלק זה מלמד בניית צירי זמן פורנזיים שיטתיים. התלמידים ינרמלו חותמות זמן, יקשרו אירועים בין מקורות, וישתמשו בכלים כמו PLASO ו-Timesketch לבנייה, שאילתה והצגת צירי זמן התומכים במסקנות חקירה.
Collecting timestamped artifacts safelyTimezone handling and normalization rulesBuilding super timelines with PLASOVisualizing and querying in TimesketchCorrelating events across multiple sourcesUsing timelines to test case hypothesesשיעור 2יומנים ושרידים ספציפיים לווינדוז: יומני אירועים (מערכת, אבטחה, אפליקציה), יומני ביקורת אבטחת ווינדוז, Prefetch, קבצי קיצור LNK, RecentDocs, UserAssistחלק זה חוקר יומנים ושרידים תומכים של ווינדוז שחושפים פעילות משתמש ומערכת. הלומדים ינתחו יומני אבטחה, מערכת ואפליקציה, בתוספת Prefetch, LNK, RecentDocs ו-UserAssist לשחזור הרצת תוכניות וגישה לקבצים.
Key Windows Event Log channels and usesSecurity Audit events for logon and accessPrefetch analysis for program executionLNK shortcuts and RecentDocs correlationsUserAssist entries and GUI-based activityCross-validating logs with file system dataשיעור 3שרידי אפליקציות ודפדפן: עקבות גישה לדוא"ל אינטרנט (קוקיז, דפים במטמון, פרטי התחברות שמורים), היסטוריית דפדפן, מילוי אוטומטי טפסים, תוספות, כותרות דוא"ל אינטרנטחלק זה מתמקד בשרידי אפליקציות ודפדפן שחושפים התנהגות מקוונת. התלמידים ינתחו קוקיז, מטמון, פרטי התחברות שמורים, היסטוריה, מילוי אוטומטי, תוספות וכותרות דוא"ל כדי לעקוב אחר גישה לדוא"ל ודליפת נתונים פוטנציאלית.
Browser history and visit reconstructionCookie and session artifact analysisCached pages and offline web contentSaved credentials and password storesForm autofill and input reconstructionWebmail headers and access indicatorsשיעור 4שרידי רשת ו-VPN: יומני לקוח VPN, יומני רשת ווינדוז, טבלאות ניתוב, לכידות רשת (אם זמין), DHCP, מטמון DNSחלק זה עוסק בשרידים שחושפים שימוש ברשת ו-VPN. הלומדים יבחנו יומני לקוח VPN, יומני רשת ווינדוז, נתוני ניתוב, DHCP, מטמון DNS ולכידות חבילות כדי לזהות גישה מרחוק, נתיבי דליפה ותעלות פיקוד.
VPN client logs and session timelinesWindows firewall and networking logsDHCP leases and IP address attributionDNS cache and name resolution historyAnalyzing routing tables and tunnelsUsing packet captures when availableשיעור 5שרידי מערכת קבצים ואחסון: מבני NTFS (MFT, $LogFile, $UsnJrnl), slack קבצים, זרמי נתונים חלופיים, חותמות זמן (MFT, $STANDARD_INFORMATION, $FILE_NAME)חלק זה בוחן שרידי מערכת קבצים ואחסון קריטיים לחקירות. הלומדים ינתחו מבנים NTFS כולל MFT, $LogFile ו-$UsnJrnl, בתוספת slack קבצים וזרמי נתונים חלופיים, לשחזור היסטוריית קבצים ופעילות נסתרת.
Master File Table structure and entries$LogFile and transaction rollback analysis$UsnJrnl for change tracking over timeInterpreting NTFS timestamp triadsFile slack and residual data inspectionAlternate Data Streams and hidden contentשיעור 6שרידי שימוש במדיה חיצונית ו-USB: USBSTOR של ווינדוז, SetupAPI, רישום MountPoints2, רישומי PnP, שרידים המראים חותמות זמן חיבור מכשירחלק זה בוחן שרידי ווינדוז הרושמים שימוש במדיה חיצונית, תוך התמקדות במכשירי USB. התלמידים ינתחו USBSTOR, SetupAPI, MountPoints2 ונתוני PnP כדי לזהות מכשירים, שימוש ראשון ואחרון וחלונות העברת נתונים פוטנציאליים.
USBSTOR keys and device identificationSetupAPI logs and installation timelinesMountPoints2 and volume label correlationsPnP device entries and connection historyCorrelating USB artifacts with user sessionsDetecting suspicious removable media activityשיעור 7שחזור חלל מחוק ולא מוקצה: טכניקות חיתוך, ניתוח slack קבצים, כלי undelete, שחזור קבצי קשר דוא"ל מחוקיםחלק זה מתמקד בשחזור ראיות מחלל מחוק ולא מוקצה. התלמידים ייישמו טכניקות חיתוך, ינתחו slack קבצים, ישתמשו בכלי undelete, ויתמקדו בשחזור מסמכים וקבצי קשר דוא"ל רלוונטיים לדליפה חשודה.
Understanding deleted and unallocated spaceFile carving methods and tool selectionAnalyzing file slack for residual contentUsing undelete tools safely and forensicallyRecovering deleted email attachmentsValidating and documenting recovered dataשיעור 8הגדרת מטרות חקירה והשערות: הוכחת דליפה, קביעת ציר זמן, זיהוי חשבונות משתמש וכוונהחלק זה מכסה תרגום שאלות תיק למטרות פורנזיות קונקרטיות, ניסוח השערות נבדקות, ומפת אותן לשרידים ספציפיים. הלומדים יתכננו כיצד להוכיח דליפה, לבנות צירי זמן, ולבחון כוונת משתמש בהגנה.
Turning case questions into forensic objectivesLinking hypotheses to specific artifact sourcesPlanning to prove or refute data exfiltrationDesigning methods to establish activity timelinesAttributing actions to user accounts and devicesDocumenting assumptions, limits, and caveats
