El curso es 100% online y contiene más de 50 vídeos. Además, el contenido estará disponible en PDF para que el alumno pueda usarlo y facilitar así su entendimiento.
También, se podrá descargar una máquina virtual para realizar los ejercicios prácticos en el propio dispositivo del alumno.
A lo largo de todo el curso, un tutor especializado va a realizar el seguimiento de cada alumno, respondiendo a cualquier duda que le pueda surgir.
Duración del curso: 480 horas
Tiempo de acceso a la academia: 5 meses
Precio: 499 €
El curso está diseñado para la preparación del certificado GCFE del curso SANS FOR500.
¿A QUIÉN VA DIRIGIDO?
- Fuerzas y cuerpos de seguridad del Estado
- Profesionales IT
- Detectives con conocimientos informáticos avanzados
- Peritos Forenses Informáticos
- Incident Responders
- Administradores de Sistemas
- Entusiastas de la seguridad que quieran ampliar conocimientos
Nuestro curso está creado por profesionales del peritaje informático y DFIR. Tiene un enfoque práctico.
CARACTERÍSTICAS DEL CURSO
- El estudiante aprende a desarrollar al máximo sus capacidades como Especialista Forense en Windows
- Análisis profundo de las fases, adquisición de evidencias y localización de artefactos forenses.
- Completamente orientado a práctica con evidencias reales. El material del curso consta de acceso a la academia, material de apoyo, ejercicios y vídeos.
- Descarga de maquina de análisis con evidencias.
- Tutor on-line para resolver dudas y realizar seguimiento del alumnado.
- Examen final 100% práctico: se proporciona una evidencia o fuente de información para que realice un informe y sea valorado.
- Tests por módulos para afianzar conocimientos. Los resultados de estos test son para valorar lo aprendido en cada lección, pero no puntúan en la nota final.
- Certificado y diploma acreditativo de Quantika14 si se ha superado los tests y el examen final.
CONTENIDO:
Modulo 1: Introducción al Digital Forensics y Adquisición de Evidencias.
- ¿Qué es el Análisis Forense Digital?
- Análisis Forense de Respuesta a Incidentes
- Análisis Forense Pericial
- Principio de Intercambio de Locard
- Metodología Actual de Análisis Forense
- ISO 27037 Fase de Identificación
- ISO 27037 Fase de Recopilación o recolección
- ISO 27037 Fase de Adquisición
- ISO 27037 Fase de Preservación
- ISO 27037 Fase de Cadena de Custodia
- Tipos de evidencias
- Discos duros
- Discos de estados solido
- Pendrives / Tarjetas de memoria
- Tipos de adquisiciones
- Adquisiciones Lógicas
- Adquisiciones Físicas
- Adquisición de ficheros o carpetas
- Tipos de imágenes forense
o Formato Bruto o RAW Images
- Formato Encase 6 (E01) – Expert Witness Format
- Encase 7 evidence file images (Ex01)
- AFF: advanced forensic format
- AccessData Customs Content Image (AD1)
- Tipos de herramientas de adquisición
- Clonadoras o duplicadoras
- Bloqueadores por hardware
- Bloqueadores por software
- ¿Qué herramientas podremos utilizar con un PC doméstico para realizar la adquisición?
- Verificación de hash de una imagen forense
- Adquisición de discos SSD
- Análisis de artefactos forenses en sistemas encendidos
- Adquisición de memoria RAM
- Detección de Cifrado
- Análisis y extracción de artefactos
Modulo 2: Sistema de Archivos
- Particionado
- MBR
- GPT
- Sistema de archivos en Windows
- FAT
- NTFS
- MFT
- Atributos MFT
- Fechas
- $LOGFILE/USNJRNAL
- ADS (Alternante Data Stream)
- $INDEX Records
- Shadow copies
- ¿Qué ocurre cuando se borra un fichero mediante el sistema operativo?
- Recuperación de datos mediante el propio sistema de archivos
- ReFS
- Atributos
- Ficheros
- Papelera de reciclaje
- Recuperación de datos mediante Carving
- Stream Carving vs File Carving
- Timeline
- Metadatos de ficheros
Modulo 3: Artefactos Forenses de Windows I
- Registro de Windows
- Recuperación de Claves-Valor
- Last Write Time
- SAM
- Identificando Usuarios y Grupos
- Passwords en Blanco
- Principales Artefactos de registro de Windows
- Identificar la versión del sistema
- Nombre de la máquina
- Zona Horaria
- Fecha de último acceso
- Interfaces de Red
- Histórico de Redes
- Cuando se conectó a una red
- Carpetas Compartidas
- AutoStart Programs
- Información de Apagado
- Búsqueda en Win7
- Búsqueda en Win 8 /10
- Typed Paths Windows 10
- Recent Docs
- Office Recent Docs
- Office Reading -locations
- Autoguardado de Ficheros Office
- LastVisited MRU
- OpenSaveMRU
- Últimos Comandos Ejecutados
- User AssistKey
- Feature Usage
- Windowa Recent APPS
- Shell Items
- Recent Documents (LNK)
- Jumplists
- Shellbags
- Dispositivos USB
- Mass Storage Device
- Picture Transfer Protocol
- Media Transfer Protocol
- Identificar evidencias de uso dispositivos USB
- USBStor
- Identificación de VID/PID
- Obtener el nombre del volumen
- Obtener la última unidad asignada
- Localizar el usuario que ha utilizado el USB
- Volumen Serial Number
- Timestamps
Modulo 4: Artefactos Forenses Windows II
- Cortana
- Notificaciones en Windows 10
- Timeline
- Windows Store
- Thumbnails
- Thumbcache
- Papelera de Reciclaje
- OfficeFileCache
- OfficeBackstage
- IP Publica
- Histórico de Ejecución de Powershell
- Historial del portapapeles
- Ejecución de programas
- Windows Prefetch
- Super Fetch
- SRUM
- AppCompatCache (ShimCache)
- Amcache.hve
- RecentFileCache
- Tareas programadas
- Servicios
- BAM
- Eventos de Windows
- Eventos de seguridad
- Eventos relacionados con la autenticación del usuario
- Visión de eventos borrados en Windows
- Recuperación de eventos de Windows
- Análisis de casuísticas más comunes en cuanto a seguridad
- BruteForce Attack
- Remote Desktop Protocol
- Conexión Satisfactoria
- Conexón no Satisfactoria
- Conexión de LogOFF
- Reconexión
- Sesión Desconectada
- Cambio de Hora
- Dispositivos USB
- Apagado/Arranque del sistema
- Vaciado de Logs
- Eventos relacionados con la RED
Modulo 5: Forense de Correo Electrónico
- Forense de correos electrónicos
- Cabecera de correo electrónico
- Message ID
- Mapi Headers
- Content-Lenght
- IMAP Internal Date
- DKIM
- SPF
- DMARC
- Authentication Results
- ¿Dónde Podemos encontrar mensajes de correo electrónico?
- Microsoft Outlook PST
- Microsoft Outlook OST
- Recuperación de adjuntos en Microsoft Outlook
- Thunderbird MBOX
- Windows 10 mail App
- Google takeout
- Modificación de mensajes de Google
- Microsoft Exchange
- Office 365
- Herramientas
- Kernel EML Viewer
- Mitec mail Viewer
- Yet Another mail análisis tool (YAMAT)
- MEIOC
- Forensic Email Collector
- EmailRep.io
Modulo 6: Navegadores
- Internet Explorer
- Internet Explorer 11
- Cache
- Cookies
- Historial de ficheros descargados
- Historial de navegación
- Typed URLs
- Edge
- Internet Explorer 11
- Firefox
- Historial de navegación
- Historial de ficheros descargados
- Cookies
- Cache
- Chrome
- Historial de navegación
- Historial de ficheros descargados
- Cache
- Cookies
- Recuperando bases de datos SQLITE
Modulo 7: Agentes Cloud
- One Drive
- SyncDiagnostic.log
- {CID}.ini
- {CID}.dat
- Google Drive
- Sync_log.log
- Cloud_graph/Cloud_graph.db
- Sync_config.db
- Dropbox
- Config.dbx
- Filecache.db
- Alternate Data Steam en Dropbox
CÓMO ACCEDER AL CURSO
Los pasos que debemos seguir son muy sencillos y fáciles. Sin embargo, si tiene alguna duda puede contactar con nosotros a través de nuestro teléfono gratuito 681 05 29 99 de lunes a viernes, en horario de 9h a 15h, o bien escribiendo a la dirección de correo electrónico info@quantika14.com.
Pasos a seguir:
- Realice el pago del curso en esta misma página web
- En menos de 48 horas recibirá un email con la URL, usuario y contraseña de la plataforma
- ¡A disfrutar!
ME INTERESA, PERO QUIERO LLAMAR POR TELÉFONO…
COMPRAR CURSO
Para comprar el curso deberá hacer click en el siguiente botón. Posteriormente rellenar los datos y en menos de 48 horas recibirá su usuario y contraseña para acceder a la plataforma.