长亭百川云 - 文章详情

第二十三期 电子数据取证的培训和认证(三)

电子数据取证与鉴定

71

2024-07-13

国际上关于电子数据取证的认证主要分为行业内中立机构的认证和厂商关于某个具体产品的认证。

上一期,本公众号详细介绍了属于厂商认证的知名认证:EnCE和ACE。本期,本公众号将详细介绍属于中立机构认证的知名认证:CHFI、CCFP和CFE。之后,将继续介绍属于中立机构认证的CCE、CFCE、GCFA、GCFE、CSFA。

CHFI

认证介绍

Computer Hacking Forensic Investigator,简称CHFI,中文一般翻译为“计算机入侵调查取证专家”,由美国中立机构International Council of Electronic Commerce Consultants(下简称EC-Council)组织开展,是关于计算机入侵调查取证的专业认证;

EC-Council 是美国的专业组织,总部位于纽约,是世界 十 大 IT 认证机构之一。 EC-Council认证体系由The Association of Internet Professionals(简称AIP)授信,AIP是国际知名的互联网专家的重要组织。 AIP认证授信委员会由厂商认证公司、教育机构、软硬件公司以及其他一些非营利机构组成,主要是确定认证体系的标准并授信于符合该标准的认证项目。

CHFI 课程主要围绕黑客人侵、侦测、提取犯罪证据及发现潜在攻击。除计算机安全外, CHFI 同时教授如何系统地及正确地获取并记录犯罪证据 ( 例如通过恢复已删除、加密或损毁的文件 ) ,在法庭起诉入侵者,并实施审计来防止未来的入侵。目前,CHFI 课程已经更新至V8版本,相比之前的版本,CHFI V8更强调实战技术和方法,其精心组织的内容能有效确保学员充分理解取证调查的步骤和方法。此外,CHFI V8展示了调查中需要使用到的的新技术和新工具。

参加CHFI培训和考试的目标人群为:警察和其他执法人员、国防与军事人员、电子商务安全专家、系统管理员、法律界人士、银行和保险等专业人才、政府机构、IT经理等。

近年拥有大量客户的敏感数据的行业,例如:银行、律师行、保险、金融机构等都开始加大对此类人才的需求。由于市场需求量大及拥有 CHFI 的专家人数不多,而且 CHFI认证获得者须具备法律和 IT 知识,薪金均较一般 IT 从业员高出三分之一,行业前景十分乐观。

知识体系

CHFI V8的知识体系主要由22个模块组成,分别为:

•   模块 01:Computer Forensics in Today's World (计算机取证概论)

•   模块02:Computer Forensics Investigation Process (计算机取证调查程序)

•   模块03:Searching and Seizing of Computer (搜查和扣押计算机)

•   模块04:Digital Evidence(电子证据)

•   模块05:First Responder Procedures(应急响应流程)

•   模块06:Computer Forensics Lab (计算机取证实验室)

•   模块07:Understanding Hard Disks and File Systems (认识硬盘和文件系统)

•   模块08:Windows Forensics I (Windows基础取证)

•   模块09:Data Acquisition and Duplication (数据获取和复制)

•   模块10:Recovering Deleted Files & Deleted Partitions (恢复被刪除文件及被刪除分区)

•   模块11:Forensics Investigations Using AccessData FTK (使用FTK进行调查取证)

•   模块12:Forensics Investigations Using Encase (使用Encase进行调查取证)

•   模块13:Steganography and Image Files Forensics (信息隐写和图像文件鉴定)

•   模块14:Application Password Cracker (应用程序密码破解)

•   模块15:Log Capturing and Event Correlation (日志获取和事件关联)

•   模块16:Network Forensics, Investigating Logs (网络取证与日志调查)

•   模块17:Investigating Wireless Attacks (无线网络攻击调查)

•   模块18:Investigating Web Attacks (网站攻击调查)

•   模块19:Tracking Emails and Investigating Email Crime (追踪电子邮件和调查电子邮件犯罪) 

•   模块20:Mobile Forensics (移动终端取证)

•   模块21:Investigative Report (调查报告) 

•   模块22:Become an Expert Witness (如何成为专家证人)

认证要求和基本流程

CHFI是专门为从事信息系统的安全、计算机取证和应急响应的IT专业人员设计的认证课程。申请参加CHFI认证考试,一般需要经过“参加CHFI认证培训→申请参加考试并通过”这个流程才能获得CHFI认证。

步骤1

参加CHFI认证培训

CHFI培训一般为5天,时间为上午9点至下午5点。CHFI 312-49考试将在培训(可选)的最后一天进行。学生需要通过在线考试以获取CHFI认证。

步骤2

注册认证考试

考生需要在ECCouncil网站(www.eccouncil.org)报名参加考试。第一步是要申请参加考试,一旦获得批准,你可以在ECCouncil网上商店购买考试券,之后就可以在Prometric或VUE考试中心安排考试。

步骤3

参加考试

CHFI考试为全英文,考试形式为在线考试。考生须在4个小时内完成150道题,题型为多选题,考生必须取得70%以上的正确率才可通过考试。。

ECCouncil网站提供在线模拟考试,考生可进行模拟测试,提前感受实际考试。

主要知识资源

 •   CHFI iClass

https://iclass.eccouncil.org/

•   CHFI v8 Courseware

https://store.eccouncil.org/product-category/courseware/

•   CHFI iLabs

https://store.eccouncil.org/product/ilabs-chfi/

•    CHFI ASSESSMENT

https://www.eccouncil.org/programs/computer-hacking-forensic-investigator-chfi/assessment/

•   参考书籍

ALL IN ONE CHFI EXAM GUIDE (ISBN: 978-0-07-183155-0)

CCFP

认证介绍

Certified Cyber Forensics Professional,简称CCFP,一般翻译为“ISC2认证电子取证专家”,由美国ISC2组织开展,是国际上最具影响力的电子取证认证之一,已经在欧美越来越受到认可。

ISC2认证电子取证专家(CCFP)拥有丰富的信息技术知识,掌握法庭科学、调查、电子取证及应用取证技术,熟悉电子取证流程规范、实践标准、法律及道德准则,可保障电子证据在取证过程中的准确性、完整性和可靠性。CCFP认证的技能是根据全球广泛认可的核心知识体系进行测评。

知识体系

CCFP知识体系主要由六个知识领域组成,分别法律与道德准则、调查、法庭科学、电子取证、应用取证和混合及新兴技术。

 •   法律与道德准则:涉及道德行为及法律框架下适用的合规要求;要求完全理解法律、道德准则概念,需展现具备熟练表述分析结果的能力(如法庭上),口头及书面上均应具备,并能够与调查团队、机构或企业进行团队协作与沟通。主要知识点包括掌握证据的本质及其特性、证据链(Chain of Custody)、处理原则的重要性、专家证人角色及道德准则。

•   调查:具备调查所需的知识,掌握局域网及广域网数据通讯知识,了解远程访问、国际互联网/企业内部互联网及外联网(Extranet)相关配置等。主要知识点包括熟悉网络设备,如网络交换机、网桥、路由器以及网络通讯协议(如TCP/IP、IPSec)及VPN等。具备刑事、民事、行政管理、安全事件应急响应与取证、电子证据开示(eDiscovery)及知识产权等领域的调查知识。

•   法庭科学:法庭科学应用大量科学与技术来调查和确立与刑事或民事案件相关联的事实。收集的证据必须满足作为事实接受的各种规则,具有基于可验证性的说服力。法庭科学将科学应用于法律,最终贯穿于诉讼活动。要求掌握法庭科学的基本原则,理解法庭科学在与调查及法律相关方面的应用方式,理解如何对获得的数据进行分析以及在处理过程中使用质量保证及管控的方法。主要知识点包括基本原则(罗卡德转移原则、英曼-鲁丁范式、科学原则及科学方法)、取证方法(辨识、分类、关联和重建)、取证分析和检验计划、报告编写及展示和质量保证、控制、管理及认可过程。

•   电子取证:电子数据取证涉及任何电子证据的收集,即存储的数据或以电子形式传输的数据。 该过程将最终确立事件发生的时间顺序,并应用于法庭诉讼。要求掌握介质及文件系统结构,理解不同的系统存储介质,也要求理解网络协议、操作系统、虚拟化及移动设备。主要知识点包括介质及文件系统取证、计算机及操作系统取证、网络取证、移动设备取证、嵌入式设备取证、多媒体内容取证(图片、音视频等)、虚拟系统取证、取证技巧及工具及反取证技巧及工具。

•   应用取证:在取证调查过程中,会遇到形形色色的应用程序类型。为了更好的进行电子证据收集,需了解各种应用程序的类型,包括数据库、电子邮件、P2P应用程序及恶意程序等。主要知识点包括软件取证(文件格式、内部文件元数据、应用程序痕迹、软件分析等)、上网访问/电子邮件及即时通讯取证、数据库取证及恶意程序取证等。

•   混合及新兴技术:混合及新兴技术包含持续进化的各种技术,要求对新兴技术有较为深入的了解,如云计算、社交网络及工业控制网络等。要求在调查实践中通过使用综合应用各种新技术新方法来支持收集证据。主要知识点包括云取证(云架构、云类型、相关云证据位置等)、社交网络、大数据、工业控制网络、重大基础设施及在线赌博及虚拟现实(VR/AR)。

认证要求和基本流程

步骤1

获得相关经验

•   考生需拥有四年制大学学士学位 (CCFP是第一个也是唯一一个要求报考者拥有大学学士学位的认证考试)

•   在6大领域知识的 3个范畴拥有 3年全职工作经验(无学士学位者需有 6年工作经验)

•  承诺遵守 (ISC) 2职业道德规范

•   (ISC)²要求完成鉴证(背书)流程

•   每3年为一个续证周期

步骤2

制定学习计划

学习工具:考试大纲(Exam Outline)及卡片(Flashcards);参加相关的培训(教室授课、在线学习及上门授课)。

步骤3

参加考试

考生须在4个小时内完成125道题,题型为选择题。总分1000分,成绩超过700分即可通过考试。CCFP在全球均可考试,目前按地区分为四个不同的版本:美国、欧盟、印度及韩国。不同区域的版本的差异主要在于相关法律法规。中国大陆考生可选择美国版本CCFP-US,目前可在香港参加考试。

  •  United States (CCFP-US):  美国版本,以英文考试

  •  European Union (CCFP-EU):  欧盟版本,以英文和德文考试

  •  South Korea (CCFP-KR):  韩国版本,以韩文考试

  •  India (CCFP-IN):  印度版本,以英文考试

考生可通过 Pearson Vue考试中心注册考试: www.pearsonvue.com/isc2

步骤4

完成荐证 (Endorsement)

•  当您获得成功通过考试的通知时,从考试日起9个月内需完成以下荐证手续。

  - 填写荐证申请表 ( Application Endorsement Form )

  - 同意遵守(ISC)² 职业道德规范 ( Code of Ethics )

  -  获得另一名(ISC)² 认证会员的签名荐证

•  完成以上步骤并提交申请表,方能最终获得证书。请登录www.isc2.org/endorsement指南及下载申请表

步骤5

续证流程

一旦通过认证,考生即成为ISC2会员。每隔3年要求重新认证。 重新认证是通过获得持续教育学分(CPE),即每年要求获得30个CPE学分;此外考生还需缴清3年的会员费总费用300美金(即每年100美金)。

主要知识资源

CCFP认证学习可参加CCFP相关培训课程,也可通过ISC2官方网站获得相关资料进行自学。

•   CCFP官方培训课程

https://www.isc2.org/ccfp-training

•   考试大纲(Exam Outline)

https://www.isc2.org/exam-outline

•    官方Flash学习卡-学习专业术语

https://learning.isc2.org/content/official-isc%C2%B2-ccfp%C2%AE-flash-cards

•   参考书籍

Offical (ISC)2 Guide to The CCFP CBK  (ISBN: 978-1-4822-6247-6)

考试周期和费用及认证有效期

考生一旦通过CCFP认证,即刻成为ISC2会员。CCFP证书的有效期为3年,3年期满后需重新认证,重新认证是通过获得持续教育学分(CPE),即每年要求获得30个CPE学分,期满前必须需登录ISC2网站登记过去3年的所有CPE学分记录。考生还需缴清3年的会员费总费用300美金(即每年100美金)。

相关链接

• CCFP认证简介

https://www.isc2.org/ccfp/default.aspx

• CCFP认证学习资源

https://www.isc2.org/ccfp-resources/default.aspx

• CCFP考试知识域

https://www.isc2.org/ccfp-domains/default.aspx

CFE

认证介绍

Certified Fraud Examiner,简称CFE,中文一般翻译为“注册舞弊审查师”或者“注册舞弊调查员”,由Association of Certified Fraud Examiner(下简称ACFE)即“美国注册舞弊审查师协会”组织开展,是国际权威的反舞弊认证;CFE认证主要面向从事审计和内控工作的调查人员,旨在帮助全球范围内的企业及时预防、发现和震慑舞弊行为,减少因这些舞弊行为给企业和公众带来的损失。

ACFE总部设在美国,目前有超过75000名注册会员,在全球各个国家和地区有超过200个由ACFE会员组织的分会,中国有北京、上海、广州、深圳和香港分会。

知识体系

CFE知识体系主要由四个核心知识领域组成,分别是:金融交易和舞弊类型、法律、调查、舞弊防范与震慑。

•  金融交易与舞弊类型

       这部分需要学员了解一些基本的金融与财会知识,比如会计基础,同时介绍了CFE知识体系所主要涉及的舞弊类型——职业性舞弊,详细列举了常见的职业性舞弊的类型、特征及其主要实施手段。

•  法律

       法律部分主要介绍基本的法律知识,比如基本法律制度、不同法系、主要司法体系,以及在处理不同调查活动中所可能涉及到民法与刑法行为、跨司法体系调查所涉及到的法律问题等。详细列举了与舞弊调查相关的法律和法规;同时介绍了处理不同类型舞弊行为所牵涉的法律问题、司法流程中个人权利、证据处理、证人证言等相关问题。

•  调查

       详细介绍了如何进行调查工作的规划与准备工作,以及开展调查工作中的不同调查方法和技术的使用,如文档分析、面谈谈话、公开/隐蔽调查以及电子取证调查,阐述了不同调查阶段的要点和具体流程。 

•  舞弊防范与震慑

       从管理的角度介绍了如何有效的预防各类型的舞弊行为,提供了指导性的管理原则和指导方针,详细列举不同角色和舞弊行为发生各个阶段的预防、分析、评估、调查以及震慑的具体要求。介绍ACFE的道德准则和作为CFE的职业行为准则。

认证要求和基本流程

申请参加CFE认证考试,一般需要经过“申请成为ACFE会员→申请参加考试→通过后提交认证材料”这个流程才能获得CFE认证。

 1. 申请成为ACFE会员。ACFE会员分为以下三种:

2. 确认符合考试要求:

  •  已申请成为ACFE会员

  •  满足最低学历要求:

  -至少需要具备学士学位或等同教育水平,不限专业

  -不具备学士学位的,则必须按照每两年舞弊专业从业经验换取1年教育背景进行换算,满足最低从业年限要求

  -满足道德水准要求(未因道德败坏被定罪或判刑,包括舞弊、行贿、受贿、盗窃、贪污等)

  -至少两年舞弊相关从业经验(见下表)

为便于申请者计算,ACFE官方提供了在线打分系统http://www.acfe.com/qualifications-points.aspx,申请者必须满足50分的最低要求才能申请CFE认证考试。举例来说,四年学制所获得的学士学位可获得40分,每一年相关从业经验可获得5分,那么,具备学士学位和两年相关从业经验的申请者评分为50分,可直接申请参加CFE认证。

3. 学习相关资料和考试准备。

4. 提出考试申请和相关材料:

•   工作经验证明

•   教育背景(学历)证明

•   电子照片

•   3份由同事或工作伙伴出具的个人推荐信

5. 完成在线考试。

CFE考试为全英文,考试形式为在线考试,由四个核心知识领域组成(金融交易与舞弊类型、法律、调查和舞弊防范与震慑),每部分125题,一共500题。完整考试必须在10小时内完成,每道题最多答题时间为75秒。

考生必须完成四个知识领域均取得75%以上的正确率才可通过考试,任何一个知识领域未满足75%正确率都无法通过CFE考试,均需要重新申请未通过知识领域的考试。

4. 完成考试后3-5个工作日,ACFE官方将通过电子邮件告知考生考试成绩。

5. 完成考试的考生,应同时提供考试宣誓书,由已经持有CFE证书的人员为考生是否独立完成考试进行见证。

6. 全部完成后,约1个月左右收到ACFE寄出的纸质CFE证书和CFE徽章。·

主要知识资源

ACFE官方为CFE考生提供了一系列的学习资源,供考生学习准备CFE考试。

•  CFE Exam Prep Course

•   Fraud Examiners Manual

•  CFE Exam Review Course

根据考生所在国家的不同,ACFE提供了U.S. Edition和International Edition两种版本,建议中国考生选择国际版本。

考试周期和费用及认证有效期

根据专业基础和教育背景的不同,ACFE官方给出了30天、60天和90天等不同时长的备考方案,考生可以根据自己的实际情况参考选择:http://www.acfe.com/fasttrack/

CFE考试单次考试费用为250美元,未通过考试的则需要重新申请。

与许多国际认证考试一样,考生在通过CFE考试之后,除首年豁免CPE学分外,后续每年还应该满足每年20小时CPE学分的要求,其中至少有10学分是与舞弊发现和舞弊预防有关,2学分必须与道德相关。

相关链接

1.ACFE 官方网站:

www.acfe.com

2.CFE成员列表:

https://www.acfe.com/findacfe.aspx

3.ACFE各地成员分会:

http://nf.acfe.com/eweb/DynamicPage.aspx?Site=ACFEWEB&WebCode=ChapterList

 

小编语录

这是关于电子数据取证鉴定的培训与认证的第三期,继续感谢徐志强先生和孙奕先生撰写了CCFP和CFE介绍。也感谢陈思晶先生提供的众多参考资料。

下期,小编将继续为大家详细介绍关于行业内中立机构的认证:CCE、CFCE、GCFA、GCFE、CSFA。

还有两个事情要申明一下:

1、有很多读者在后台希望小编能发一下具体取证技术(如伪基站取证)的文章。小编统一回复,感谢读者支持和信任,但是小编所有的发文都有自己的安排,希望能形成体系。因此,关于取证具体技术类文章小编今后一定会发,但是也是会形成模块地发。

2、近期,小编发现有公众号未经授权,大幅抄袭了小编的公众号内容,而且还作为广告软文进行宣传。在此,小编再次申明,小编欢迎技术交流,欢迎对本公众号内容的转载和引用,但是反对未经授权的抄袭。一旦再次发现,小编也将采取行动。

如需转载可与小编进行联系,下图是小编微信号。

更多精彩内容尽请关注“电子数据取证与鉴定”。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2