第二十四期 电子数据取证的培训和认证（四）

鉴定人专业素养不是与生俱来的，只有通过科学培养、系统学习，才能打造高素质的鉴定队伍。因此，培训是提高鉴定人专业素养、确保鉴定质量的必要手段。目前，我国的在该领域的培训工作还处于起步阶段，与国际上的人才培训和认证发展相差甚远。尽管在公安类院校和政法类大学开设了相关课程，但是与实战相差甚远，效果也不尽人意。

前几期，本公众号详细介绍了属于厂商认证的知名认证：EnCE和ACE以及属于中立机构认证的知名认证：CHFI、CCFP和CFE。本期，将继续介绍中立机构SANS的系列培训认证以及产品X-ways的培训认证。

SANS培训认证

一

认证介绍

美国系统网络安全协会（以下简称SANS Institute）是一所致力于信息安全与安全证书培训的研究和教育机构，也是迄今为止世界上最受信任的信息安全培训方。其培训项目包含了一系列密集的体验式培训，培训方式包括了实时和虚拟，至今已培训了约16.5万安全界从业人员。其信息安全课程包括网络安全、取证、审计、安全领导和应用程序安全。除了一流的培训，SANS Institute还通过GIAC（SANS研究所的附属机构）提供认证，该认证机构拥有超过20个项目的信息安全技术认证。SANS Institute还经营了包含了86个重要类别安全研究原创性文章的SANS 信息安全阅览室，以及被称为互联网早期预警系统的Internet Storm Center。

目前，SANS Institute中涉及电子数据取证的培训有8项，对应的认证有6个，分别为：

1、FOR408: 计算机取证分析（Computer Forensic Analysis），对应的认证为GIAC认证取证检验员(GCFE)。

2、FOR508: 高级电子数据取证和应急响应（Advanced Digital Forensics and Incident Response），对应的认证为GIAC认证取证分析员(GCFA)。

3、FOR585: 高级智能手机取证（Advanced Smartphone Forensics），对应的认证为GIAC 高级手机取证人员(GASF)。

4、FOR504: 黑客工具、技术、漏洞利用和事件处理（Hacker Tools, Techniques,Exploits, and Incident Handling），对应的认证为GIAC认证应急事件处理员 (GCIH)。

5、FOR610：逆向工程恶意软件：恶意软件分析工具和技术（Reverse-Engineering Malware:Malware Analysis Tools and Techniques），对应的认证为GIAC certified Incident Handler (GREM)。

6、FOR572: 高级网络取证和分析（Advanced Network Forensics and Analysis），对应的认证为GIAC网络取证分析员(GNFA)。

7、FOR518: Mac 取证分析（Mac Forensic Analysis）。

8、FOR526: 深度内存取证（Memory Forensics In-Depth）。

二

知识体系

 

FOR408

FOR408的知识体系主要由6个部分组成：

1）408.1 Windows取证和高级数据分类（Windows Digital Forensics and Advanced Data Triage）

2）408.2 Windows注册表取证和分析（CORE WINDOWS FORENSICS PART 1 –Windows Registry Forensics and Analysis）

3）408.3 USB设备，Shell项和关键字搜索（CORE WINDOWS FORENSICS PART 2 –USB Devices, Shell Items, and Key Word Searching）

4）408.4电子邮件，其它关键痕迹和事件日志（CORE WINDOWS FORENSICS PART 3 –Email, Key Additional Artifacts, and Event Logs）

5）408.5网络浏览器取证（CORE WINDOWS FORENSICS PART 4 –Web Browser Forensics: Firefox, Internet Explorer, and Chrome）

6）408.6 Windows取证的挑战（Windows Forensic Challenge）

 

FOR508

FOR508的知识体系主要由6个部分组成：

1）508.1 企业应急响应（Enterprise Incident Response）

2）508.2 应急响应中的内存取证（Memory Forensics in Incident Response）

3）508.3 时间轴分析（Timeline Analysis）

4）508.4 深度取证和反取证检测（Deep Dive Forensics and Anti-Forensics Detection）

5）508.5 攻击和恶意软件查找（Adversary and Malware Hunting）

6）508.6 APT应急响应的挑战（The APT Incident Response Challenge）

 

FOR585

FOR585的知识体系主要由6个部分组成：

1）585.1 智能手机概述和恶意软件取证（Smartphone Overview and Malware Forensics）

2）585.2 Android取证（Android Forensics）

3）585.3 iOS取证（iOS Forensics）

4）585.4 备份文件和BlackBerry取证（Backup File and BlackBerry Forensics）

5）585.5 第三方应用和其它智能手机设备取证（Third-Party Application and Other Smartphone Device Forensics）

6）585.6 智能手机取证练习（Smartphone Forensics Capstone Exercise）

 

FOR504

FOR504的知识体系主要由6个部分组成：

1）504.1 事件处理及计算机犯罪调查（Incident Handling Step-by-Step and Computer Crime Investigation）

2）504.2 计算机和网络黑客利用第一部分（Computer and Network Hacker Exploits – PART 1）

3）504.3计算机和网络黑客利用第二部分（Computer and Network Hacker Exploits – PART 2）

4）504.4计算机和网络黑客利用第三部分（Computer and Network Hacker Exploits – PART 3）

5）504.5计算机和网络黑客利用第四部分（Computer and Network Hacker Exploits – PART 4）

6）504.6 黑客工具研讨（Hacker Tools Workshop）

 

FOR610

FOR610的知识体系主要由6个部分组成：

1）FOR610.1: 恶意软件分析基础（Malware Analysis Fundamentals）

2）FOR610.2: 恶意代码分析（Malicious Code Analysis）

3）FOR610.3: 深入的恶意软件分析（In-Depth Malware Analysis）

4）FOR610.4: 自卫式恶意软件（Self-Defending Malware）

5）FOR610.5: 恶意文档和内存取证（Malicious Documents and Memory Forensics）

6）FOR610.6: 恶意软件分析比赛（Malware Analysis Tournament）

8、FOR572: Advanced Network Forensics and Analysis

 

FOR572

FOR572的知识体系主要由6个部分组成：

1）FOR572.1: 网络证据的取证（Off the Disk and Onto the Wire）

2）FOR572.2: NetFlow分析、商业工具和可视化（NetFlow Analysis, Commercial Tools, and Visualization）

3）FOR572.3: 网络协议和无线调查（Network Protocols and Wireless Investigations）

4）FOR572.4: 日志记录、OPSEC和占位符（Logging, OPSEC, and Footprint）

5）FOR572.5: 加密、协议反转和自动化（Encryption, Protocol Reversing, and Automation）

6）FOR572.6: 网络取证挑战（Network Forensics Capstone Challenge）

 

FOR518

FOR518的知识体系主要由6个部分组成：

1）FOR518.1: Mac基础和HFS +文件系统（Mac Essentials and the HFS+ File System）

2）FOR518.2: 用户域文件分析（User Domain File Analysis）

3）FOR518.3: 系统和本地域文件分析（System and Local Domain File Analysis）

4）FOR518.4: 高级分析（Advanced Analysis Topics）

5）FOR518.5: iOS取证（iOS Forensics）

6）FOR518.6: Mac 取证的挑战（The Mac Forensics Challenge）

 

FOR526

FOR526的知识体系主要由6个部分组成：

1）526.1: 内存分析和获取基础（Foundations in Memory Analysis and Acquisition）

2）526.2: 非结构化分析和步骤探索（Unstructured Analysis and Process Exploration）

3）526.3: 通过存储器构件调查用户（Investigating the User via Memory Artifacts）

4）526.4: 内部存储器结构（Internal Memory Structures）

5）526.5: 除Windows之外的平台上的内存分析（Memory Analysis on Platforms Other than Windows）

6）FOR526.6: 内存分析挑战（Memory Analysis Challenges）

三

认证要求和基本流程

SANS系列的取证培训基本都是36个CPEs，培训的价格为5,620美金，认证考试的价格为689美金。所有的GIAC考试都通过测试中心提供，并且必须提前安排。

在考生申请获得批准后，GIAC尝试将在您的GIAC帐户中激活。考生付款后会收到注册确认。 在考生帐户中激活认证后，会收到电子邮件通知。 考生将在激活日期后的120天内完成认证。 GIAC考试必须通过Pearson VUE进行。 

1

GCFE

FOR408是一个中级Windows取证课程。GCFE考试为全英文，考生须在3个小时内完成115道题，考生必须取得71%以上的正确率才可通过考试。获得认证后需要每4年更新1次。

2

GCFA

FOR508是一个高级事件响应课程。GCFA考试为全英文，考生须在3个小时内完成115道题，考生必须取得71%以上的正确率才可通过考试。获得认证后需要每4年更新1次。

3

GASF

FOR585的培训没有前置要求。GASF考试为全英文，考生须在2个小时内完成75道题，考生必须取得69%以上的正确率才可通过考试。获得认证后需要每4年更新1次。

4

GCIH

参加FOR504的培训人员要求必须对Windows命令行和核心网络概念（如TCP / IP）有基本理解。GCIH考试为全英文，考生须在4个小时内完成150道题，考生必须取得73%以上的正确率才可通过考试。获得认证后需要每4年更新1次。

5

GREM

参加FOR610的培训人员要求能熟悉使用Windows和Linux。GREM考试为全英文，考生须在2个小时内完成75道题，考生必须取得70.7%以上的正确率才可通过考试。获得认证后需要每4年更新1次。

6

GNFA

GNFA考试为全英文，考生须在2个小时内完成50道题，考生必须取得60%以上的正确率才可通过考试。获得认证后需要每4年更新1次。

四

主要知识资源

 •   FOR408

https://www.sans.org/selfstudy/course/windows-forensic-analysis

•   FOR508

https://www.sans.org/ondemand/course/advanced-incident-response-threat-hunting-training

 •   FOR585

https://www.sans.org/ondemand/course/advanced-smartphone-mobile-device-forensics

•   FOR504

https://www.sans.org/ondemand/course/hacker-techniques-exploits-incident-handling

 •   FOR610

https://www.sans.org/ondemand/course/reverse-engineering-malware-malware-analysis-tools-techniques

•   FOR572

https://www.sans.org/ondemand/course/advanced-network-forensics-analysis

 •   FOR518

https://www.sans.org/ondemand/course/mac-forensic-analysis

•   FOR526

https://www.sans.org/course/memory-forensics-in-depth

X-PERT

一

认证介绍

X-Ways Professional in Evidence Recovery Techniques，简称X-PERT专家认证，是德国X-Ways公司为X-Ways Forensics软件用户推出的一个认证考试。X-PERT专家认证不仅可以证明证书获得者是一名非常熟悉X-Ways Forensics软件的高级用户，更表明他具有计算机取证的充足实战经验、深入理解电子数据取证领域的全方位知识，包括数据存储知识、操作系统数据结构、文件类型、文件格式、文件系统、哈希和字符集等各方面知识。此证书足以证明他是一个有足够能力、高效的分析人员，会利用所掌握的技能判断在不同的情况下使用哪些最合适的功能完成手中的不同的取证分析任务。

二

知识体系

X-PERT知识体系主要由软件使用技能和操作系统、文件系统、数据恢复、网络取证等几个方面的核心知识领域组成，重点关注知识积累和技能提升。

 •  X-Ways Forensics使用技能

这部分要求申请人要掌握软件的基本操作，掌握如何利用Winhex和X-WaysForensics如何进行全面的计算机取证分析流程。这要求申请人具有充足的计算机取证知识和软件操作能力，具体要求掌握的知识包括：软件的配置、设置；分析磁盘和文件系统；磁盘、分区、卷和文件；偏移地址和扇区；证据文件；各种视图和文件操作；普通过滤和组合过滤；磁盘快照，数据恢复，文件签名和自定义签名库；元数据分析；各种文件的嵌入数据；图片分析；邮件分析；浏览器历史纪录分析；事件日志；时间分析；哈希和哈西库；关键词搜索，逻辑搜索和物理搜索；语言编码等。

 •  数据恢复

涉及各种证据文件格式，证据容器，分区恢复、Raid重组、动态磁盘、LVM2，使用X-Tension脚本，手工恢复NTFS删除的文件等。

 •  内存和网络取证

涉及Page Tables，PFN数据库，Pagefile，进程，驱动，即插即用设备管理，如何分析内存进程，Hiberfil.sys，恶意代码检测，网络取证

 •  文件系统知识

涉及Fat12/FAT16/FAT32，NTFS，Ext2/Ext3/Ext4，XFS，ReiserFS，Reiser4，exFAT，XWFS2等文件系统。

三

认证要求和基本流程

1

认证要求

申请参加X-PERT专家认证考试，需要同时具备三个条件。

 1. 申请人应该拥有一套在升级期内的X-Ways Forensics软件；或申请人所在机构允许你使用机构拥有的X-Ways Forensics软件。因为申请考试时需要提供软件狗编号。

2. 需要能使用英语或德语答题

3. 满足下面条件之一

 •  申请人曾经在最近4年内参加过X-Ways公司举办的官方培训，这可以证明申请人在不断学习并掌握软件所有的最新功能。

 •  申请人使用X-Ways Forensics软件超过2年，且在不断自学。拥有CFCE、CCE、EnCE，或其他被X-Ways 公司认为等于具有足够技术背景的认证证书。其它没有被列举出来的认证证书，X-Ways 公司并不认为这些证书代表具备有足够的技术背景。申请人还可提供关于个人的专业背景信息，如可信的网站介绍、个人简历、雇主出具的证明，个人技术论坛等。这些信息应能够证明申请人是计算机取证的专业人士，并证明你具有足够的能力。

 •  由于很多认证没有被列举出来，因此需要提供满足最低学历要求。

2

考核流程

1. 在线申请参加考试（http://www.x-pert.eu/apply/）

申请是需要提交的信息包括：姓名，机构，邮件地址，城市，国家，软件狗ID，参加培训课程的时间和地点，或提交满足技术背景的培训、经验或证书。

2. 如果申请被通过，需支付认证费用，并选择考试的时间

3. 考试方式和准备：

•   开始采用远程方式，可在家、办公室、酒店等场所

•  Windows XP之后版本操作系统，并具有亚洲语言环境

•  可以访问互联网

•  一个邮件帐户

•   常用工具，如文本编辑器、Excel

•   在获得参加考试资格后，必需60天内进行考试

4. 完成在线考试。

•   镜像文件会在考试前下发

•   准备好即可开始考试，必需3小时内完成

5. 合格分数为75分。如果考核答案与其他申请人答案相似，申请人将无法通过认证考试，且所在机构的其他申请人也将被永久拒绝认证申请。

四

主要知识资源

X-Ways官方网站提供了一些自学资源，供考生学习准备CFE考试。

•   X-Ways 用户手册

http://www.x-ways.net/winhex/manual.pdf

•   X-Ways用户论坛

http://www.winhex.net/

• 《X-Ways Forensics Practitioners Guide》

http://www.amazon.com/X-Ways-Forensics-Practitioners-Guide-Shavers/dp/0124116051

•   快速入门视频

https://www.youtube.com/playlist?list=PLB0pU0wP67A9LezmyZO5I6DnHPEWjgjOD Fraud Examiners Manual

•   软件设置和配置视频

https://www.youtube.com/playlist?list=PLB0pU0wP67A-\_DeVFfswVlZuRTH4cWswQ CFE Exam Review Course

X-Ways Forensics具体操作的PPT，可以参考Sprite Guo编写PPT文档(http://cflab.blog.163.com)

五

考试周期和费用及认证有效期

单次考试费用为199欧元。非欧洲国家申请人需要增加19％增值税。相同机构的其他人同时申请认证考试，可以享受20%优惠。

一旦支付费用，任何原因未参加考试均不会返还费用。

认证有效期共3年。三年后需要再次参加新的考试。费用减半。

六

相关链接

•   X-Ways 官方网站：

www.x-ways.net

•   X-PERT介绍：

http://www.x-pert.eu/

•   X-Ways 中国总代理官方网站：

www.cflab.cn

 

小编语录

这是关于电子数据取证鉴定的培训与认证的最后一期，感谢郭永健先生撰写了X-PERT介绍。由于时间以及网上资料的限制，有些知名的认证小编将在以后的公众号中视情况再做介绍。

小编也和好友讨论过未来国内电子数据取证培训存在的问题和发展方向，他认为：“目前国内尚未有权威的电子数据取证的培训认证体系，一是缺少培训的分级分类，既包括对不同背景、不同知识层次人员制定不同的培训计划，也包括对电子数据不同领域，不同难度制定出分层次的培训计划；二是缺少权威的成体系的教材，目前市面没有一套真正成体系的教材，归根结底还是缺少培训认证的顶层设计；三是没有成熟的师资队伍，部分高校的教师基本理论功底扎实，但是缺少大量公安一线实战工作经验的积累，一线优秀取证人员又缺少展示自己，将自己经验转化为教学成果的平台；四是缺少权威的培训认证制度，目前只是根据相关规定达到一定知识背景和工作年限就可以取得鉴定人资格，但对于电子数据取证工作，这是远远不够的，需要有关部门尽快制定一套行之有效的认证制度，并由权威机构或部门进行认证。”

小编也觉得要想把电子数据取证的培训做到位，首先，必须建立适应中国国情的电子数据取证培训体系，要有国家权威部门进行的顶层设计。同时，要借鉴国际培训经验，立足于国际视野，在吸纳国外先进理念的同时，建立具有中国特色的体系化、专业化的培训教案、师资队伍和认证制度。

还有1个事情要再次重新强调一下：近期，小编发现有公众号未经授权，抄袭了小编的公众号内容。小编再次申明，欢迎技术交流，欢迎对本公众号内容的转载和引用，但是反对未经授权的抄袭。

如需转载可与小编进行联系，下图是小编微信号。

下期，小编将开启电子数据取证的实战篇，包括各种类型案件的取证与鉴定，以及如何撰写司法鉴定报告。更多精彩内容尽请关注“电子数据取证与鉴定”。