課程英文全稱： Building an Investigation with EnCase Forensic?

課程中文全稱：EnCase電子數據取證實戰(zhàn)及技能提升

課程編號：DF210 ??| ??CPE 分數： 32

課程級別: ?中級 ?|? 學習要求： 學員已完成學習DF120培訓課程

一、課程簡介

該課程主要為掌握計算機基本技能、電子數據取證基礎及EnCase軟件應用的調查人員設計。課程是基于DF120課程要求的技能，讓調查員進一步學習EnCase的特有功能，提升個人能力從而實現提高工作效率。學員必須掌握證據處理、證據文件結構、創(chuàng)建和使用案例、數據獲取方法、硬件寫保護、網絡交叉線及盤到盤的證據獲取。此外，學員還需掌握FAT文件系統的刪除文件及文件夾的恢復、使用關鍵詞對物理介質和邏輯介質進行搜索、創(chuàng)建和使用書簽、文件簽名和簽名分析、搜索及解析各種Windows痕跡數據。

二、參加對象

該課程主要面向IT安全專家、法律訴訟支持專家及電子數據取證調查員。參加此課程要求學員已參加過DF120課程。

三、課程學習內容

• 恢復加密信息（如Windows BitLocker加密磁盤中加密數據的提?。?/li>
• 查找及恢復已刪除分區(qū)
• 復合文件(Compound Files)的處理與分析
• Windows注冊表工作原理及數據分析
• 判斷系統使用的時區(qū)，掌握在案例中正確調整時區(qū)的方法
• 創(chuàng)建及使用條件表達式(Conditions)實現高效搜索
• EnCase證據處理器的配置與應用
• FAT/exFAT/NTFS文件系統概述
• 關鍵詞搜索技巧及GREP語法應用
• 邏輯證據文件及單一文件的創(chuàng)建與應用
• 識別Windows操作系統常見系統痕跡（如快捷方式文件、回收站及用戶文件夾等）
• 回收站(Recycle Bin)的數據恢復
• 系統殘留痕跡的恢復（如swap交換文件、文件殘留區(qū)、打印機脫機文件等）
• 電子郵件及附件的搜索方法及技巧
• 上網記錄及電子郵件相關痕跡的檢驗方法
• USB移動設備的數據恢復