第二十四期电子数据取证的培训和认证（四）

鉴定人专业素养不是与生俱来的，只有通过科学培养、系统学习，才能打造高素质的鉴定队伍。因此，培训是提高鉴定人专业素养、确保鉴定质量的必要手段。目前，我国的在该领域的培训工作还处于起步阶段，与国际上的人才培训和认证发展相差甚远。尽管在公安类院校和政法类大学开设了相关课程，但是与实战相差甚远，效果也不尽人意。

前几期，本公众号详细介绍了属于厂商认证的知名认证：EnCE和ACE以及属于中立机构认证的知名认证：CHFI、CCFP和CFE。本期，将继续介绍中立机构SANS的系列培训认证以及产品X-ways的培训认证。

SANS培训认证

一

认证介绍

美国系统网络安全协会（以下简称SANS Institute）是一所致力于信息安全与安全证书培训的研究和教育机构，也是迄今为止世界上最受信任的信息安全培训方。其培训项目包含了一系列密集的体验式培训，培训方式包括了实时和虚拟，至今已培训了约16.5万安全界从业人员。其信息安全课程包括网络安全、取证、审计、安全领导和应用程序安全。除了一流的培训，SANS Institute还通过GIAC（SANS研究所的附属机构）提供认证，该认证机构拥有超过20个项目的信息安全技术认证。SANS Institute还经营了包含了86个重要类别安全研究原创性文章的SANS 信息安全阅览室，以及被称为互联网早期预警系统的Internet Storm Center。

目前，SANS Institute中涉及电子数据取证的培训有8项，对应的认证有6个，分别为：

1、FOR408: 计算机取证分析（Computer Forensic Analysis），对应的认证为GIAC认证取证检验员(GCFE)。

2、FOR508: 高级电子数据取证和应急响应（Advanced Digital Forensics and Incident Response），对应的认证为GIAC认证取证分析员(GCFA)。

3、FOR585: 高级智能手机取证（Advanced Smartphone Forensics），对应的认证为GIAC 高级手机取证人员(GASF)。

4、FOR504: 黑客工具、技术、漏洞利用和事件处理（Hacker Tools, Techniques,Exploits, and Incident Handling），对应的认证为GIAC认证应急事件处理员 (GCIH)。

5、FOR610：逆向工程恶意软件：恶意软件分析工具和技术（Reverse-Engineering Malware:Malware Analysis Tools and Techniques），对应的认证为GIAC certified Incident Handler (GREM)。

6、FOR572: 高级网络取证和分析（Advanced Network Forensics and Analysis），对应的认证为GIAC网络取证分析员(GNFA)。

7、FOR518: Mac 取证分析（Mac Forensic Analysis）。

8、FOR526: 深度内存取证（Memory Forensics In-Depth）。

二

知识体系

FOR408

FOR408的知识体系主要由6个部分组成：

1）408.1 Windows取证和高级数据分类（Windows Digital Forensics and Advanced Data Triage）

2）408.2 Windows注册表取证和分析（CORE WINDOWS FORENSICS PART 1 –Windows Registry Forensics and Analysis）

3）408.3 USB设备，Shell项和关键字搜索（CORE WINDOWS FORENSICS PART 2 –USB Devices, Shell Items, and Key Word Searching）

4）408.4电子邮件，其它关键痕迹和事件日志（CORE WINDOWS FORENSICS PART 3 –Email, Key Additional Artifacts, and Event Logs）

5）408.5网络浏览器取证（CORE WINDOWS FORENSICS PART 4 –Web Browser Forensics: Firefox, Internet Explorer, and Chrome）

6）408.6 Windows取证的挑战（Windows Forensic Challenge）

FOR508

FOR508的知识体系主要由6个部分组成：

1）508.1 企业应急响应（Enterprise Incident Response）

2）508.2 应急响应中的内存取证（Memory Forensics in Incident Response）

3）508.3 时间轴分析（Timeline Analysis）

4）508.4 深度取证和反取证检测（Deep Dive Forensics and Anti-Forensics Detection）

5）508.5 攻击和恶意软件查找（Adversary and Malware Hunting）

6）508.6 APT应急响应的挑战（The APT Incident Response Challenge）

FOR585

FOR585的知识体系主要由6个部分组成：

1）585.1 智能手机概述和恶意软件取证（Smartphone Overview and Malware Forensics）

2）585.2 Android取证（Android Forensics）

3）585.3 iOS取证（iOS Forensics）

4）585.4 备份文件和BlackBerry取证（Backup File and BlackBerry Forensics）

5）585.5 第三方应用和其它智能手机设备取证（Third-Party Application and Other Smartphone Device Forensics）

6）585.6 智能手机取证练习（Smartphone Forensics Capstone Exercise）

FOR504

FOR504的知识体系主要由6个部分组成：

1）504.1 事件处理及计算机犯罪调查（Incident Handling Step-by-Step and Computer Crime Investigation）

2）504.2 计算机和网络黑客利用第一部分（Computer and Network Hacker Exploits – PART 1）

3）504.3计算机和网络黑客利用第二部分（Computer and Network Hacker Exploits – PART 2）

4）504.4计算机和网络黑客利用第三部分（Computer and Network Hacker Exploits – PART 3）

5）504.5计算机和网络黑客利用第四部分（Computer and Network Hacker Exploits – PART 4）

6）504.6 黑客工具研讨（Hacker Tools Workshop）

FOR610

FOR610的知识体系主要由6个部分组成：

1）FOR610.1: 恶意软件分析基础（Malware Analysis Fundamentals）

2）FOR610.2: 恶意代码分析（Malicious Code Analysis）

3）FOR610.3: 深入的恶意软件分析（In-Depth Malware Analysis）

4）FOR610.4: 自卫式恶意软件（Self-Defending Malware）

5）FOR610.5: 恶意文档和内存取证（Malicious Documents and Memory Forensics）

6）FOR610.6: 恶意软件分析比赛（Malware Analysis Tournament）

8、FOR572: Advanced Network Forensics and Analysis

FOR572

FOR572的知识体系主要由6个部分组成：

1）FOR572.1: 网络证据的取证（Off the Disk and Onto the Wire）

2）FOR572.2: NetFlow分析、商业工具和可视化（NetFlow Analysis, Commercial Tools, and Visualization）

3）FOR572.3: 网络协议和无线调查（Network Protocols and Wireless Investigations）

4）FOR572.4: 日志记录、OPSEC和占位符（Logging, OPSEC, and Footprint）

5）FOR572.5: 加密、协议反转和自动化（Encryption, Protocol Reversing, and Automation）

6）FOR572.6: 网络取证挑战（Network Forensics Capstone Challenge）

FOR518

FOR518的知识体系主要由6个部分组成：

1）FOR518.1: Mac基础和HFS +文件系统（Mac Essentials and the HFS+ File System）

2）FOR518.2: 用户域文件分析（User Domain File Analysis）

3）FOR518.3: 系统和本地域文件分析（System and Local Domain File Analysis）

4）FOR518.4: 高级分析（Advanced Analysis Topics）

5）FOR518.5: iOS取证（iOS Forensics）

6）FOR518.6: Mac 取证的挑战（The Mac Forensics Challenge）

FOR526

FOR526的知识体系主要由6个部分组成：

1）526.1: 内存分析和获取基础（Foundations in Memory Analysis and Acquisition）

2）526.2: 非结构化分析和步骤探索（Unstructured Analysis and Process Exploration）

3）526.3: 通过存储器构件调查用户（Investigating the User via Memory Artifacts）

4）526.4: 内部存储器结构（Internal Memory Structures）

5）526.5: 除Windows之外的平台上的内存分析（Memory Analysis on Platforms Other than Windows）

6）FOR526.6: 内存分析挑战（Memory Analysis Challenges）

三

认证要求和基本流程

SANS系列的取证培训基本都是36个CPEs，培训的价格为5,620美金，认证考试的价格为689美金。所有的GIAC考试都通过测试中心提供，并且必须提前安排。

在考生申请获得批准后，GIAC尝试将在您的GIAC帐户中激活。考生付款后会收到注册确认。在考生帐户中激活认证后，会收到电子邮件通知。考生将在激活日期后的120天内完成认证。 GIAC考试必须通过Pearson VUE进行。

GCFE

FOR408是一个中级Windows取证课程。GCFE考试为全英文，考生须在3个小时内完成115道题，考生必须取得71%以上的正确率才可通过考试。获得认证后需要每4年更新1次。

GCFA

FOR508是一个高级事件响应课程。GCFA考试为全英文，考生须在3个小时内完成115道题，考生必须取得71%以上的正确率才可通过考试。获得认证后需要每4年更新1次。

GASF

FOR585的培训没有前置要求。GASF考试为全英文，考生须在2个小时内完成75道题，考生必须取得69%以上的正确率才可通过考试。获得认证后需要每4年更新1次。

GCIH

参加FOR504的培训人员要求必须对Windows命令行和核心网络概念（如TCP / IP）有基本理解。GCIH考试为全英文，考生须在4个小时内完成150道题，考生必须取得73%以上的正确率才可通过考试。获得认证后需要每4年更新1次。

GREM

参加FOR610的培训人员要求能熟悉使用Windows和Linux。GREM考试为全英文，考生须在2个小时内完成75道题，考生必须取得70.7%以上的正确率才可通过考试。获得认证后需要每4年更新1次。

GNFA

GNFA考试为全英文，考生须在2个小时内完成50道题，考生必须取得60%以上的正确率才可通过考试。获得认证后需要每4年更新1次。

四

主要知识资源

• FOR408

https://www.sans.org/selfstudy/course/windows-forensic-analysis

• FOR508

https://www.sans.org/ondemand/course/advanced-incident-response-threat-hunting-training

• FOR585

https://www.sans.org/ondemand/course/advanced-smartphone-mobile-device-forensics

• FOR504

https://www.sans.org/ondemand/course/hacker-techniques-exploits-incident-handling

• FOR610

https://www.sans.org/ondemand/course/reverse-engineering-malware-malware-analysis-tools-techniques

• FOR572

https://www.sans.org/ondemand/course/advanced-network-forensics-analysis

• FOR518

https://www.sans.org/ondemand/course/mac-forensic-analysis

• FOR526

https://www.sans.org/course/memory-forensics-in-depth

X-PERT

一

认证介绍

X-Ways Professional in Evidence Recovery Techniques，简称X-PERT专家认证，是德国X-Ways公司为X-Ways Forensics软件用户推出的一个认证考试。X-PERT专家认证不仅可以证明证书获得者是一名非常熟悉X-Ways Forensics软件的高级用户，更表明他具有计算机取证的充足实战经验、深入理解电子数据取证领域的全方位知识，包括数据存储知识、操作系统数据结构、文件类型、文件格式、文件系统、哈希和字符集等各方面知识。此证书足以证明他是一个有足够能力、高效的分析人员，会利用所掌握的技能判断在不同的情况下使用哪些最合适的功能完成手中的不同的取证分析任务。

二

知识体系

X-PERT知识体系主要由软件使用技能和操作系统、文件系统、数据恢复、网络取证等几个方面的核心知识领域组成，重点关注知识积累和技能提升。

• X-Ways Forensics使用技能

这部分要求申请人要掌握软件的基本操作，掌握如何利用Winhex和X-WaysForensics如何进行全面的计算机取证分析流程。这要求申请人具有充足的计算机取证知识和软件操作能力，具体要求掌握的知识包括：软件的配置、设置；分析磁盘和文件系统；磁盘、分区、卷和文件；偏移地址和扇区；证据文件；各种视图和文件操作；普通过滤和组合过滤；磁盘快照，数据恢复，文件签名和自定义签名库；元数据分析；各种文件的嵌入数据；图片分析；邮件分析；浏览器历史纪录分析；事件日志；时间分析；哈希和哈西库；关键词搜索，逻辑搜索和物理搜索；语言编码等。

• 数据恢复

涉及各种证据文件格式，证据容器，分区恢复、Raid重组、动态磁盘、LVM2，使用X-Tension脚本，手工恢复NTFS删除的文件等。

• 内存和网络取证

涉及Page Tables，PFN数据库，Pagefile，进程，驱动，即插即用设备管理，如何分析内存进程，Hiberfil.sys，恶意代码检测，网络取证

• 文件系统知识

涉及Fat12/FAT16/FAT32，NTFS，Ext2/Ext3/Ext4，XFS，ReiserFS，Reiser4，exFAT，XWFS2等文件系统。

三

认证要求和基本流程

认证要求

申请参加X-PERT专家认证考试，需要同时具备三个条件。

1. 申请人应该拥有一套在升级期内的X-Ways Forensics软件；或申请人所在机构允许你使用机构拥有的X-Ways Forensics软件。因为申请考试时需要提供软件狗编号。

2. 需要能使用英语或德语答题

3. 满足下面条件之一

• 申请人曾经在最近4年内参加过X-Ways公司举办的官方培训，这可以证明申请人在不断学习并掌握软件所有的最新功能。

• 申请人使用X-Ways Forensics软件超过2年，且在不断自学。拥有CFCE、CCE、EnCE，或其他被X-Ways 公司认为等于具有足够技术背景的认证证书。其它没有被列举出来的认证证书，X-Ways 公司并不认为这些证书代表具备有足够的技术背景。申请人还可提供关于个人的专业背景信息，如可信的网站介绍、个人简历、雇主出具的证明，个人技术论坛等。这些信息应能够证明申请人是计算机取证的专业人士，并证明你具有足够的能力。

• 由于很多认证没有被列举出来，因此需要提供满足最低学历要求。

考核流程

1. 在线申请参加考试（http://www.x-pert.eu/apply/）

申请是需要提交的信息包括：姓名，机构，邮件地址，城市，国家，软件狗ID，参加培训课程的时间和地点，或提交满足技术背景的培训、经验或证书。

2. 如果申请被通过，需支付认证费用，并选择考试的时间

3. 考试方式和准备：

• 开始采用远程方式，可在家、办公室、酒店等场所

• Windows XP之后版本操作系统，并具有亚洲语言环境

• 可以访问互联网

• 一个邮件帐户

• 常用工具，如文本编辑器、Excel

• 在获得参加考试资格后，必需60天内进行考试