Curso online – Forense en Windows

Peritajes y auditorias informáticas

El curso es 100% online y contiene más de 50 vídeos.  Además, el contenido estará disponible en PDF para que el alumno pueda usarlo y facilitar así su entendimiento.

También, se podrá descargar una máquina virtual para realizar los ejercicios prácticos en el propio dispositivo del alumno.

A lo largo de todo el curso, un tutor especializado va a realizar el seguimiento de cada alumno, respondiendo a cualquier duda que le pueda surgir.

Duración del curso: 480 horas

Tiempo de acceso a la academia: 5 meses

Precio: 499 €

El curso está diseñado para la preparación del certificado GCFE del curso SANS FOR500.

¿A QUIÉN VA DIRIGIDO?

  • Fuerzas y cuerpos de seguridad del Estado
  • Profesionales IT
  • Detectives con conocimientos informáticos avanzados
  • Peritos Forenses Informáticos
  • Incident Responders
  • Administradores de Sistemas
  • Entusiastas de la seguridad que quieran ampliar conocimientos

Nuestro curso está creado por profesionales del peritaje informático y DFIR. Tiene un enfoque práctico.

CARACTERÍSTICAS DEL CURSO

  • El estudiante aprende a desarrollar al máximo sus capacidades como Especialista Forense en Windows
  • Análisis profundo de las fases, adquisición de evidencias y localización de artefactos forenses.
  • Completamente orientado a práctica con evidencias reales. El material del curso consta de acceso a la academia, material de apoyo, ejercicios y vídeos.
  • Descarga de maquina de análisis con evidencias.
  • Tutor on-line para resolver dudas y realizar seguimiento del alumnado.
  • Examen final 100% práctico: se proporciona una evidencia o fuente de información para que realice un informe y sea valorado.
  • Tests por módulos para afianzar conocimientos. Los resultados de estos test son para valorar lo aprendido en cada lección, pero no puntúan en la nota final.
  • Certificado y diploma acreditativo de Quantika14 si se ha superado los tests y el examen final.

CONTENIDO:

Modulo 1: Introducción al Digital Forensics y Adquisición de Evidencias.

  • ¿Qué es el Análisis Forense Digital?
    • Análisis Forense de Respuesta a Incidentes
    • Análisis Forense Pericial
    • Principio de Intercambio de Locard
    • Metodología Actual de Análisis Forense
    • ISO 27037 Fase de Identificación
    • ISO 27037 Fase de Recopilación o recolección
    • ISO 27037 Fase de Adquisición
    • ISO 27037 Fase de Preservación
    • ISO 27037 Fase de Cadena de Custodia
  • Tipos de evidencias
    • Discos duros
    • Discos de estados solido
    • Pendrives / Tarjetas de memoria
  • Tipos de adquisiciones
    • Adquisiciones Lógicas
    • Adquisiciones Físicas
    • Adquisición de ficheros o carpetas
  • Tipos de imágenes forense

o  Formato Bruto o RAW Images

  • Formato Encase 6 (E01) – Expert Witness Format
    • Encase 7 evidence file images (Ex01)
    • AFF: advanced forensic format
    • AccessData Customs Content Image (AD1)
  • Tipos de herramientas de adquisición
    • Clonadoras o duplicadoras
    • Bloqueadores por hardware
    • Bloqueadores por software
    • ¿Qué herramientas podremos utilizar con un PC doméstico para realizar la adquisición?
  • Verificación de hash de una imagen forense
  • Adquisición de discos SSD
  • Análisis de artefactos forenses en sistemas encendidos
    • Adquisición de memoria RAM
    • Detección de Cifrado
    • Análisis y extracción de artefactos

Modulo 2: Sistema de Archivos

  • Particionado
    • MBR
    • GPT
  • Sistema de archivos en Windows
    • FAT
    • NTFS
      • MFT
      • Atributos MFT
      • Fechas
      • $LOGFILE/USNJRNAL
      • ADS (Alternante Data Stream)
      • $INDEX Records
      • Shadow copies
      • ¿Qué ocurre cuando se borra un fichero mediante el sistema operativo?
      • Recuperación de datos mediante el propio sistema de archivos
  • ReFS
    • Atributos
    • Ficheros
    • Papelera de reciclaje
  • Recuperación de datos mediante Carving
    • Stream Carving vs File Carving
  • Timeline
  • Metadatos de ficheros

Modulo 3: Artefactos Forenses de Windows I

  • Registro de Windows
    • Recuperación de Claves-Valor
    • Last Write Time
  • SAM
    • Identificando Usuarios y Grupos
    • Passwords en Blanco
  • Principales Artefactos de registro de Windows
    • Identificar la versión del sistema
    • Nombre de la máquina
    • Zona Horaria
    • Fecha de último acceso
    • Interfaces de Red
    • Histórico de Redes
    • Cuando se conectó a una red
    • Carpetas Compartidas
    • AutoStart Programs
    • Información de Apagado
    • Búsqueda en Win7
    • Búsqueda en Win 8 /10
    • Typed Paths Windows 10
    • Recent Docs
    • Office Recent Docs
    • Office Reading -locations
    • Autoguardado de Ficheros Office
    • LastVisited MRU
    • OpenSaveMRU
    • Últimos Comandos Ejecutados
    • User AssistKey
    • Feature Usage
    • Windowa Recent APPS
  • Shell Items
    • Recent Documents (LNK)
    • Jumplists
    • Shellbags
  • Dispositivos USB
    • Mass Storage Device
    • Picture Transfer Protocol
    • Media Transfer Protocol
    • Identificar evidencias de uso dispositivos USB
    • USBStor
    • Identificación de VID/PID
    • Obtener el nombre del volumen
    • Obtener la última unidad asignada
    • Localizar el usuario que ha utilizado el USB
    • Volumen Serial Number
    • Timestamps

Modulo 4: Artefactos Forenses Windows II

  • Cortana
  • Notificaciones en Windows 10
  • Timeline
  • Windows Store
  • Thumbnails
  • Thumbcache
  • Papelera de Reciclaje
  • OfficeFileCache
  • OfficeBackstage
  • IP Publica
  • Histórico de Ejecución de Powershell
  • Historial del portapapeles
  • Ejecución de programas
    • Windows Prefetch
    • Super Fetch
    • SRUM
    • AppCompatCache (ShimCache)
    • Amcache.hve
    • RecentFileCache
    • Tareas programadas
    • Servicios
    • BAM
  • Eventos de Windows
    • Eventos de seguridad
    • Eventos relacionados con la autenticación del usuario
    • Visión de eventos borrados en Windows
    • Recuperación de eventos de Windows
  • Análisis de casuísticas más comunes en cuanto a seguridad
    • BruteForce Attack
    • Remote Desktop Protocol
      • Conexión Satisfactoria
      • Conexón no Satisfactoria
      • Conexión de LogOFF
      • Reconexión
      • Sesión Desconectada
    • Cambio de Hora
    • Dispositivos USB
    • Apagado/Arranque del sistema
  • Vaciado de Logs
  • Eventos relacionados con la RED

Modulo 5: Forense de Correo Electrónico

  • Forense de correos electrónicos
    • Cabecera de correo electrónico
    • Message ID
    • Mapi Headers
    • Content-Lenght
    • IMAP Internal Date
    • DKIM
    • SPF
    • DMARC
    • Authentication Results
  • ¿Dónde Podemos encontrar mensajes de correo electrónico?
    • Microsoft Outlook PST
    • Microsoft Outlook OST
    • Recuperación de adjuntos en Microsoft Outlook
    • Thunderbird MBOX
    • Windows 10 mail App
    • Google takeout
      • Modificación de mensajes de Google
    • Microsoft Exchange
    • Office 365
  • Herramientas
    • Kernel EML Viewer
    • Mitec mail Viewer
    • Yet Another mail análisis tool (YAMAT)
    • MEIOC
    • Forensic Email Collector
    • EmailRep.io

Modulo 6: Navegadores

  • Internet Explorer
    • Internet Explorer 11
      • Cache
      • Cookies
      • Historial de ficheros descargados
      • Historial de navegación
      • Typed URLs
    • Edge
  • Firefox
    • Historial de navegación
    • Historial de ficheros descargados
    • Cookies
    • Cache
  • Chrome
    • Historial de navegación
    • Historial de ficheros descargados
    • Cache
    • Cookies
  • Recuperando bases de datos SQLITE

Modulo 7: Agentes Cloud

  • One Drive
    • SyncDiagnostic.log
    • {CID}.ini
    • {CID}.dat
  • Google Drive
    • Sync_log.log
    • Cloud_graph/Cloud_graph.db
    • Sync_config.db
  • Dropbox
    • Config.dbx
    • Filecache.db
    • Alternate Data Steam en Dropbox

CÓMO ACCEDER AL CURSO

Los pasos que debemos seguir son muy sencillos y fáciles. Sin embargo, si tiene alguna duda puede contactar con nosotros a través de nuestro teléfono gratuito 681 05 29 99 de lunes a viernes, en horario de 9h a 15h, o bien escribiendo a la dirección de correo electrónico info@quantika14.com.

Pasos a seguir:

  1. Realice el pago del curso en esta misma página web
  2. En menos de 48 horas recibirá un email con la URL, usuario y contraseña de la plataforma
  3. ¡A disfrutar!

ME INTERESA, PERO QUIERO LLAMAR POR TELÉFONO…


    COMPRAR CURSO

    Para comprar el curso deberá hacer click en el siguiente botón. Posteriormente rellenar los datos y en menos de 48 horas recibirá su usuario y contraseña para acceder a la plataforma.

    La web de Quantika14.com, titularidad de Quantika14 S.L, con Domicilio social: Calle Conde de Cifuentes 6, local B, Sevilla, España, CIF número B90233966 y correo electrónico de contacto DPD@quantika14.com. usa cookies propias y de terceros en este sitio web para gestionar las sesiones de los usuarios, mejorar el funcionamiento, analizar el uso de la web y solventar posibles incidencias de la web. Si continúa navegando se considera que acepta su uso. Visite nuestra política de cookies para modificar su configuración o conocer más al respecto. ACEPTAR
    Aviso de cookies