पाठ 1टाइमलाइन निर्माण: टाइमस्टैम्प सामान्यीकरण, स्रोतों में सहसंबंध, टाइमलाइन उपकरण (पीएलएएसओ/टाइमस्केच) और कार्यप्रणालीयह खंड फोरेंसिक टाइमलाइनों के व्यवस्थित निर्माण सिखाता है। छात्र टाइमस्टैम्प्स को सामान्यीकृत करेंगे, स्रोतों में घटनाओं को सहसंबद्ध करेंगे, और पीएलएएसओ तथा टाइमस्केच जैसे उपकरणों का उपयोग करके टाइमलाइन बनाएंगे, क्वेरी करेंगे, और जांच निष्कर्षों का समर्थन करने वाली प्रस्तुत करेंगे।
Collecting timestamped artifacts safelyTimezone handling and normalization rulesBuilding super timelines with PLASOVisualizing and querying in TimesketchCorrelating events across multiple sourcesUsing timelines to test case hypothesesपाठ 2विंडोज-विशिष्ट लॉग्स और आर्टिफैक्ट्स: इवेंट लॉग्स (सिस्टम, सिक्योरिटी, एप्लीकेशन), विंडोज सिक्योरिटी ऑडिट लॉग्स, प्रीफेच, एलएनके शॉर्टकट फाइलें, रीसेंटडॉक्स, यूजरअसिस्टयह खंड विंडोज लॉग्स और समर्थन आर्टिफैक्ट्स की खोज करता है जो उपयोगकर्ता और सिस्टम गतिविधि प्रकट करते हैं। शिक्षार्थी सिक्योरिटी, सिस्टम और एप्लीकेशन लॉग्स का विश्लेषण करेंगे, साथ ही प्रीफेच, एलएनके, रीसेंटडॉक्स और यूजरअसिस्ट को प्रोग्राम निष्पादन और फाइल पहुंच पुनर्निर्माण के लिए।
Key Windows Event Log channels and usesSecurity Audit events for logon and accessPrefetch analysis for program executionLNK shortcuts and RecentDocs correlationsUserAssist entries and GUI-based activityCross-validating logs with file system dataपाठ 3एप्लीकेशन और ब्राउज़र आर्टिफैक्ट्स: वेबमेल पहुंच ट्रेस (कुकीज़, कैश्ड पेजेस, सहेजी गई क्रेडेंशियल्स), ब्राउज़र इतिहास, फॉर्म ऑटोफिल, एक्सटेंशन्स, वेबमेल हेडर्सयह खंड एप्लीकेशन और ब्राउज़र आर्टिफैक्ट्स पर केंद्रित है जो ऑनलाइन व्यवहार प्रकट करते हैं। छात्र कुकीज़, कैश, सहेजी गई क्रेडेंशियल्स, इतिहास, ऑटोफिल, एक्सटेंशन्स, और वेबमेल हेडर्स का विश्लेषण करेंगे ताकि वेबमेल पहुंच और संभावित डेटा एक्सफिल्ट्रेशन का पता लगाएं।
Browser history and visit reconstructionCookie and session artifact analysisCached pages and offline web contentSaved credentials and password storesForm autofill and input reconstructionWebmail headers and access indicatorsपाठ 4नेटवर्क और वीपीएन आर्टिफैक्ट्स: वीपीएन क्लाइंट लॉग्स, विंडोज नेटवर्किंग लॉग्स, रूटिंग टेबल्स, नेटवर्क कैप्चर्स (यदि उपलब्ध), डीएचसीपी, डीएनएस कैशयह खंड नेटवर्क और वीपीएन उपयोग प्रकट करने वाले आर्टिफैक्ट्स को संबोधित करता है। शिक्षार्थी वीपीएन क्लाइंट लॉग्स, विंडोज नेटवर्किंग लॉग्स, रूटिंग डेटा, डीएचसीपी, डीएनएस कैश, और पैकेट कैप्चर्स की समीक्षा करेंगे ताकि रिमोट पहुंच, एक्सफिल्ट्रेशन पथ और कमांड चैनलों की पहचान करें।
VPN client logs and session timelinesWindows firewall and networking logsDHCP leases and IP address attributionDNS cache and name resolution historyAnalyzing routing tables and tunnelsUsing packet captures when availableपाठ 5फाइल सिस्टम और स्टोरेज आर्टिफैक्ट्स: एनटीएफएस संरचनाएं (एमएफटी, $लॉगफाइल, $यूएसएनजेआरएनएल), फाइल स्लैक, वैकल्पिक डेटा स्ट्रीम्स, टाइमस्टैम्प्स (एमएफटी, $स्टैंडर्ड_इनफॉर्मेशन, $फाइल_नेम)यह खंड जांचों के लिए महत्वपूर्ण विंडोज फाइल सिस्टम आर्टिफैक्ट्स की जांच करता है। शिक्षार्थी एनटीएफएस संरचनाओं का विश्लेषण करेंगे, जिसमें एमएफटी, $लॉगफाइल, और $यूएसएनजेआरएनएल शामिल हैं, साथ ही फाइल स्लैक और वैकल्पिक डेटा स्ट्रीम्स, फाइल इतिहास और छिपी गतिविधि पुनर्निर्माण के लिए।
Master File Table structure and entries$LogFile and transaction rollback analysis$UsnJrnl for change tracking over timeInterpreting NTFS timestamp triadsFile slack and residual data inspectionAlternate Data Streams and hidden contentपाठ 6बाहरी मीडिया और यूएसबी उपयोग आर्टिफैक्ट्स: विंडोज यूएसबीएसटीओआर, सेटअपएपीआई, रजिस्ट्री माउंटपॉइंट्स2, पीएनपी प्रविष्टियां, उपकरण कनेक्शन टाइमस्टैम्प्स दिखाने वाले आर्टिफैक्ट्सयह खंड बाहरी मीडिया उपयोग रिकॉर्ड करने वाले विंडोज आर्टिफैक्ट्स की जांच करता है, यूएसबी उपकरणों पर केंद्रित। छात्र यूएसबीएसटीओआर, सेटअपएपीआई, माउंटपॉइंट्स2, और पीएनपी डेटा का विश्लेषण करेंगे ताकि उपकरणों, पहली और अंतिम उपयोग, और संभावित डेटा स्थानांतरण विंडो की पहचान करें।
USBSTOR keys and device identificationSetupAPI logs and installation timelinesMountPoints2 and volume label correlationsPnP device entries and connection historyCorrelating USB artifacts with user sessionsDetecting suspicious removable media activityपाठ 7डिलीटेड और अनएलोकेटेड स्पेस पुनर्प्राप्ति: कार्विंग तकनीकें, फाइल स्लैक विश्लेषण, अनडिलीट उपकरण, डिलीटेड ईमेल अटैचमेंट्स पुनर्प्राप्तियह खंड डिलीटेड और अनएलोकेटेड स्पेस से साक्ष्य पुनर्प्राप्ति पर केंद्रित है। छात्र कार्विंग तकनीकों का उपयोग करेंगे, फाइल स्लैक विश्लेषण करेंगे, अनडिलीट उपकरणों का उपयोग करेंगे, और संदिग्ध एक्सफिल्ट्रेशन से संबंधित दस्तावेजों तथा ईमेल अटैचमेंट्स की पुनर्प्राप्ति को लक्षित करेंगे।
Understanding deleted and unallocated spaceFile carving methods and tool selectionAnalyzing file slack for residual contentUsing undelete tools safely and forensicallyRecovering deleted email attachmentsValidating and documenting recovered dataपाठ 8जांच लक्ष्यों और परिकल्पनाओं को परिभाषित करना: एक्सफिल्ट्रेशन साबित करना, टाइमलाइन स्थापित करना, उपयोगकर्ता खाते और इरादा पहचाननायह खंड केस प्रश्नों को ठोस फोरेंसिक लक्ष्यों में अनुवाद करना, परीक्षण योग्य परिकल्पनाओं का निर्माण, और उन्हें विशिष्ट आर्टिफैक्ट्स से मैप करना कवर करता है। शिक्षार्थी एक्सफिल्ट्रेशन साबित करने, टाइमलाइन निर्माण, और उपयोगकर्ता इरादे का रक्षात्मक मूल्यांकन कैसे करें, योजना बनाएंगे।
Turning case questions into forensic objectivesLinking hypotheses to specific artifact sourcesPlanning to prove or refute data exfiltrationDesigning methods to establish activity timelinesAttributing actions to user accounts and devicesDocumenting assumptions, limits, and caveats
