Lektion 1Tidslinjekonstruktion: tidsstämpelnormalisering, korrelation över källor, tidslinjeverktyg (PLASO/Timesketch) och metodikDenna sektion lär systematisk konstruktion av forensiska tidslinjer. Studenter normaliserar tidsstämplar, korrelerar händelser över källor och använder verktyg som PLASO och Timesketch för att bygga, fråga och presentera tidslinjer som stödjer utredningsslut.
Collecting timestamped artifacts safelyTimezone handling and normalization rulesBuilding super timelines with PLASOVisualizing and querying in TimesketchCorrelating events across multiple sourcesUsing timelines to test case hypothesesLektion 2Windows-specifika loggar och artefakter: Händelseloggar (System, Säkerhet, Applikation), Windows Säkerhetsgranskningsloggar, Prefetch, LNK-genvägsfiler, RecentDocs, UserAssistDenna sektion utforskar Windows-loggar och stödjande artefakter som avslöjar användar- och systemaktivitet. Lärande analyserar säkerhets-, system- och applikationsloggar, plus Prefetch, LNK, RecentDocs och UserAssist för att rekonstruera programkörning och filåtkomst.
Key Windows Event Log channels and usesSecurity Audit events for logon and accessPrefetch analysis for program executionLNK shortcuts and RecentDocs correlationsUserAssist entries and GUI-based activityCross-validating logs with file system dataLektion 3Applikations- och webbläsarartefakter: webmailåtkomstspår (cookies, cachade sidor, sparade uppgifter), webbläsarhistorik, formuläraftofyll, tillägg, webmailhuvudenDenna sektion fokuserar på applikations- och webbläsarartefakter som avslöjar onlinebeteende. Studenter analyserar cookies, cache, sparade uppgifter, historik, autofyll, tillägg och webmailhuvuden för att spåra webmailåtkomst och potentiell dataexfiltrering.
Browser history and visit reconstructionCookie and session artifact analysisCached pages and offline web contentSaved credentials and password storesForm autofill and input reconstructionWebmail headers and access indicatorsLektion 4Nätverks- och VPN-artefakter: VPN-klientloggar, Windows Nätverksloggar, routringsbord, nätverkspaketfångster (om tillgängliga), DHCP, DNS-cacheDenna sektion behandlar artefakter som avslöjar nätverks- och VPN-användning. Lärande granskar VPN-klientloggar, Windows nätverksloggar, routringsdata, DHCP, DNS-cache och paketfångster för att identifiera fjärråtkomst, exfiltreringsvägar och kommandokanaler.
VPN client logs and session timelinesWindows firewall and networking logsDHCP leases and IP address attributionDNS cache and name resolution historyAnalyzing routing tables and tunnelsUsing packet captures when availableLektion 5Filsystem- och lagringsartefakter: NTFS-strukturer (MFT, $LogFile, $UsnJrnl), filslack, alternativa dataströmmar, tidsstämplar (MFT, $STANDARD_INFORMATION, $FILE_NAME)Denna sektion undersöker Windows-filsystemartefakter kritiska för utredningar. Lärande analyserar NTFS-strukturer, inklusive MFT, $LogFile och $UsnJrnl, plus filslack och alternativa dataströmmar, för att rekonstruera filhistorik och dold aktivitet.
Master File Table structure and entries$LogFile and transaction rollback analysis$UsnJrnl for change tracking over timeInterpreting NTFS timestamp triadsFile slack and residual data inspectionAlternate Data Streams and hidden contentLektion 6Extern media och USB-användningsartefakter: Windows USBSTOR, SetupAPI, register MountPoints2, PnP-poster, artefakter som visar enhetsanslutningstidsstämplarDenna sektion undersöker Windows-artefakter som registrerar extern mediaanvändning, med fokus på USB-enheter. Studenter analyserar USBSTOR, SetupAPI, MountPoints2 och PnP-data för att identifiera enheter, första och sista användning samt potentiella datöverföringsfönster.
USBSTOR keys and device identificationSetupAPI logs and installation timelinesMountPoints2 and volume label correlationsPnP device entries and connection historyCorrelating USB artifacts with user sessionsDetecting suspicious removable media activityLektion 7Återställning av raderat och oallokerat utrymme: carving-tekniker, filslackanalys, undelete-verktyg, återställa raderade e-postbilagorDenna sektion fokuserar på återställning av bevis från raderat och oallokerat utrymme. Studenter applicerar carving-tekniker, analyserar filslack, använder undelete-verktyg och riktar återställning av dokument och e-postbilagor relevanta för misstänkt exfiltrering.
Understanding deleted and unallocated spaceFile carving methods and tool selectionAnalyzing file slack for residual contentUsing undelete tools safely and forensicallyRecovering deleted email attachmentsValidating and documenting recovered dataLektion 8Definiera utredningsmål och hypoteser: bevisa exfiltrering, upprätta tidslinje, identifiera användarkonton och avsiktDenna sektion täcker översättning av ärendefrågor till konkreta forensiska mål, bildande av testbara hypoteser och kartläggning till specifika artefakter. Lärande planerar hur man bevisar exfiltrering, bygger tidslinjer och bedömer användaravsikt försvarbart.
Turning case questions into forensic objectivesLinking hypotheses to specific artifact sourcesPlanning to prove or refute data exfiltrationDesigning methods to establish activity timelinesAttributing actions to user accounts and devicesDocumenting assumptions, limits, and caveats
