第二十三期电子数据取证的培训和认证（三）

国际上关于电子数据取证的认证主要分为行业内中立机构的认证和厂商关于某个具体产品的认证。

上一期，本公众号详细介绍了属于厂商认证的知名认证：EnCE和ACE。本期，本公众号将详细介绍属于中立机构认证的知名认证：CHFI、CCFP和CFE。之后，将继续介绍属于中立机构认证的CCE、CFCE、GCFA、GCFE、CSFA。

CHFI

一

认证介绍

Computer Hacking Forensic Investigator，简称CHFI，中文一般翻译为“计算机入侵调查取证专家”，由美国中立机构International Council of Electronic Commerce Consultants（下简称EC-Council）组织开展，是关于计算机入侵调查取证的专业认证；

EC-Council 是美国的专业组织，总部位于纽约，是世界十大 IT 认证机构之一。 EC-Council认证体系由The Association of Internet Professionals(简称AIP)授信，AIP是国际知名的互联网专家的重要组织。 AIP认证授信委员会由厂商认证公司、教育机构、软硬件公司以及其他一些非营利机构组成，主要是确定认证体系的标准并授信于符合该标准的认证项目。

CHFI 课程主要围绕黑客人侵、侦测、提取犯罪证据及发现潜在攻击。除计算机安全外， CHFI 同时教授如何系统地及正确地获取并记录犯罪证据 ( 例如通过恢复已删除、加密或损毁的文件 ) ，在法庭起诉入侵者，并实施审计来防止未来的入侵。目前，CHFI 课程已经更新至V8版本，相比之前的版本，CHFI V8更强调实战技术和方法，其精心组织的内容能有效确保学员充分理解取证调查的步骤和方法。此外，CHFI V8展示了调查中需要使用到的的新技术和新工具。

参加CHFI培训和考试的目标人群为：警察和其他执法人员、国防与军事人员、电子商务安全专家、系统管理员、法律界人士、银行和保险等专业人才、政府机构、IT经理等。

近年拥有大量客户的敏感数据的行业，例如：银行、律师行、保险、金融机构等都开始加大对此类人才的需求。由于市场需求量大及拥有 CHFI 的专家人数不多，而且 CHFI认证获得者须具备法律和 IT 知识，薪金均较一般 IT 从业员高出三分之一，行业前景十分乐观。

二

知识体系

CHFI V8的知识体系主要由22个模块组成，分别为：

• 模块 01：Computer Forensics in Today's World (计算机取证概论)

• 模块02：Computer Forensics Investigation Process (计算机取证调查程序)

• 模块03：Searching and Seizing of Computer (搜查和扣押计算机)

• 模块04：Digital Evidence(电子证据)

• 模块05：First Responder Procedures(应急响应流程)

• 模块06：Computer Forensics Lab (计算机取证实验室)

• 模块07：Understanding Hard Disks and File Systems (认识硬盘和文件系统)

• 模块08：Windows Forensics I (Windows基础取证)

• 模块09：Data Acquisition and Duplication (数据获取和复制)

• 模块10：Recovering Deleted Files & Deleted Partitions (恢复被刪除文件及被刪除分区)

• 模块11：Forensics Investigations Using AccessData FTK (使用FTK进行调查取证)

• 模块12：Forensics Investigations Using Encase (使用Encase进行调查取证)

• 模块13：Steganography and Image Files Forensics (信息隐写和图像文件鉴定)

• 模块14：Application Password Cracker (应用程序密码破解)

• 模块15：Log Capturing and Event Correlation (日志获取和事件关联)

• 模块16：Network Forensics, Investigating Logs (网络取证与日志调查)

• 模块17：Investigating Wireless Attacks (无线网络攻击调查)

• 模块18：Investigating Web Attacks (网站攻击调查)

• 模块19：Tracking Emails and Investigating Email Crime (追踪电子邮件和调查电子邮件犯罪)

• 模块20：Mobile Forensics (移动终端取证)

• 模块21：Investigative Report (调查报告)

• 模块22：Become an Expert Witness (如何成为专家证人)

三

认证要求和基本流程

CHFI是专门为从事信息系统的安全、计算机取证和应急响应的IT专业人员设计的认证课程。申请参加CHFI认证考试，一般需要经过“参加CHFI认证培训→申请参加考试并通过”这个流程才能获得CHFI认证。

步骤1

参加CHFI认证培训

CHFI培训一般为5天，时间为上午9点至下午5点。CHFI 312-49考试将在培训（可选）的最后一天进行。学生需要通过在线考试以获取CHFI认证。

步骤2

注册认证考试

考生需要在ECCouncil网站（www.eccouncil.org）报名参加考试。第一步是要申请参加考试，一旦获得批准，你可以在ECCouncil网上商店购买考试券，之后就可以在Prometric或VUE考试中心安排考试。

步骤3

参加考试

CHFI考试为全英文，考试形式为在线考试。考生须在4个小时内完成150道题，题型为多选题，考生必须取得70%以上的正确率才可通过考试。。

ECCouncil网站提供在线模拟考试，考生可进行模拟测试，提前感受实际考试。

四

主要知识资源

• CHFI iClass

https://iclass.eccouncil.org/

• CHFI v8 Courseware

https://store.eccouncil.org/product-category/courseware/

• CHFI iLabs

https://store.eccouncil.org/product/ilabs-chfi/

• CHFI ASSESSMENT

https://www.eccouncil.org/programs/computer-hacking-forensic-investigator-chfi/assessment/

• 参考书籍

ALL IN ONE CHFI EXAM GUIDE (ISBN: 978-0-07-183155-0)

CCFP

一

认证介绍

Certified Cyber Forensics Professional，简称CCFP，一般翻译为“ISC2认证电子取证专家”，由美国ISC2组织开展，是国际上最具影响力的电子取证认证之一，已经在欧美越来越受到认可。

ISC2认证电子取证专家(CCFP)拥有丰富的信息技术知识，掌握法庭科学、调查、电子取证及应用取证技术，熟悉电子取证流程规范、实践标准、法律及道德准则，可保障电子证据在取证过程中的准确性、完整性和可靠性。CCFP认证的技能是根据全球广泛认可的核心知识体系进行测评。

二

知识体系

CCFP知识体系主要由六个知识领域组成，分别法律与道德准则、调查、法庭科学、电子取证、应用取证和混合及新兴技术。

• 法律与道德准则：涉及道德行为及法律框架下适用的合规要求；要求完全理解法律、道德准则概念，需展现具备熟练表述分析结果的能力（如法庭上），口头及书面上均应具备，并能够与调查团队、机构或企业进行团队协作与沟通。主要知识点包括掌握证据的本质及其特性、证据链(Chain of Custody)、处理原则的重要性、专家证人角色及道德准则。

• 调查：具备调查所需的知识，掌握局域网及广域网数据通讯知识，了解远程访问、国际互联网/企业内部互联网及外联网（Extranet）相关配置等。主要知识点包括熟悉网络设备，如网络交换机、网桥、路由器以及网络通讯协议（如TCP/IP、IPSec)及VPN等。具备刑事、民事、行政管理、安全事件应急响应与取证、电子证据开示(eDiscovery)及知识产权等领域的调查知识。

• 法庭科学：法庭科学应用大量科学与技术来调查和确立与刑事或民事案件相关联的事实。收集的证据必须满足作为事实接受的各种规则，具有基于可验证性的说服力。法庭科学将科学应用于法律，最终贯穿于诉讼活动。要求掌握法庭科学的基本原则，理解法庭科学在与调查及法律相关方面的应用方式，理解如何对获得的数据进行分析以及在处理过程中使用质量保证及管控的方法。主要知识点包括基本原则（罗卡德转移原则、英曼-鲁丁范式、科学原则及科学方法)、取证方法（辨识、分类、关联和重建）、取证分析和检验计划、报告编写及展示和质量保证、控制、管理及认可过程。

• 电子取证：电子数据取证涉及任何电子证据的收集，即存储的数据或以电子形式传输的数据。该过程将最终确立事件发生的时间顺序，并应用于法庭诉讼。要求掌握介质及文件系统结构，理解不同的系统存储介质，也要求理解网络协议、操作系统、虚拟化及移动设备。主要知识点包括介质及文件系统取证、计算机及操作系统取证、网络取证、移动设备取证、嵌入式设备取证、多媒体内容取证（图片、音视频等）、虚拟系统取证、取证技巧及工具及反取证技巧及工具。

• 应用取证：在取证调查过程中，会遇到形形色色的应用程序类型。为了更好的进行电子证据收集，需了解各种应用程序的类型，包括数据库、电子邮件、P2P应用程序及恶意程序等。主要知识点包括软件取证（文件格式、内部文件元数据、应用程序痕迹、软件分析等）、上网访问/电子邮件及即时通讯取证、数据库取证及恶意程序取证等。

• 混合及新兴技术：混合及新兴技术包含持续进化的各种技术，要求对新兴技术有较为深入的了解，如云计算、社交网络及工业控制网络等。要求在调查实践中通过使用综合应用各种新技术新方法来支持收集证据。主要知识点包括云取证（云架构、云类型、相关云证据位置等）、社交网络、大数据、工业控制网络、重大基础设施及在线赌博及虚拟现实(VR/AR)。

三

认证要求和基本流程

步骤1

获得相关经验

• 考生需拥有四年制大学学士学位 (CCFP是第一个也是唯一一个要求报考者拥有大学学士学位的认证考试)

• 在6大领域知识的 3个范畴拥有 3年全职工作经验（无学士学位者需有 6年工作经验）

• 承诺遵守 (ISC) 2职业道德规范

• (ISC)²要求完成鉴证(背书）流程

• 每3年为一个续证周期

步骤2

制定学习计划

学习工具：考试大纲(Exam Outline)及卡片(Flashcards）；参加相关的培训（教室授课、在线学习及上门授课）。

步骤3

参加考试

考生须在4个小时内完成125道题，题型为选择题。总分1000分，成绩超过700分即可通过考试。CCFP在全球均可考试，目前按地区分为四个不同的版本：美国、欧盟、印度及韩国。不同区域的版本的差异主要在于相关法律法规。中国大陆考生可选择美国版本CCFP-US，目前可在香港参加考试。

• United States (CCFP-US): 美国版本，以英文考试

• European Union (CCFP-EU): 欧盟版本，以英文和德文考试

• South Korea (CCFP-KR): 韩国版本，以韩文考试

• India (CCFP-IN): 印度版本，以英文考试

考生可通过 Pearson Vue考试中心注册考试： www.pearsonvue.com/isc2

步骤4

完成荐证 (Endorsement)

• 当您获得成功通过考试的通知时，从考试日起9个月内需完成以下荐证手续。

- 填写荐证申请表 ( Application Endorsement Form )

- 同意遵守(ISC)² 职业道德规范 ( Code of Ethics )

- 获得另一名(ISC)² 认证会员的签名荐证

• 完成以上步骤并提交申请表，方能最终获得证书。请登录www.isc2.org/endorsement指南及下载申请表

步骤5

续证流程

一旦通过认证，考生即成为ISC2会员。每隔3年要求重新认证。重新认证是通过获得持续教育学分(CPE)，即每年要求获得30个CPE学分；此外考生还需缴清3年的会员费总费用300美金（即每年100美金）。

四

主要知识资源

CCFP认证学习可参加CCFP相关培训课程，也可通过ISC2官方网站获得相关资料进行自学。

• CCFP官方培训课程

https://www.isc2.org/ccfp-training

• 考试大纲(Exam Outline)

https://www.isc2.org/exam-outline

• 官方Flash学习卡-学习专业术语

https://learning.isc2.org/content/official-isc%C2%B2-ccfp%C2%AE-flash-cards

• 参考书籍

Offical (ISC)2 Guide to The CCFP CBK (ISBN: 978-1-4822-6247-6)

五

考试周期和费用及认证有效期

考生一旦通过CCFP认证，即刻成为ISC2会员。CCFP证书的有效期为3年，3年期满后需重新认证，重新认证是通过获得持续教育学分(CPE)，即每年要求获得30个CPE学分，期满前必须需登录ISC2网站登记过去3年的所有CPE学分记录。考生还需缴清3年的会员费总费用300美金（即每年100美金）。

六

长亭百川云 - 文章详情

长亭百川云

第二十三期电子数据取证的培训和认证（三）

第二十三期 电子数据取证的培训和认证（三）

第二十三期电子数据取证的培训和认证（三）