第二十二期 电子数据取证的培训和认证(二)
国际上关于电子数据取证的认证主要分为行业内中立机构的认证和厂商关于某个具体产品的认证。属于厂商认证的EnCE和ACE由于其所属公司取证产品EnCase和FTK的广泛认可度,成为职场上最广受推崇的两个认证,认证人数也在持续增长。本期,小编将从认证介绍、知识体系、认证要求和基本流程、主要知识资源、考试周期及认证有效期等多个方面详细介绍这两个国际知名的电子数据取证的培训认证。
EnCE
一
认证介绍
EnCase Certified Examiner,简称EnCE,一般翻译为“EnCase认证调查员”,由美国知名电子数据取证厂商Guidance Software (NASDAQ: GUID) 组织开展,是国际上最具影响力的计算机取证认证,广泛被全球执法部门、企业(如四大会计师事务所、咨询及调查机构)认可。根据国外机构的统计数据,在电子数据取证领域,EnCE是领英(Linkedin)社交网最受推崇、认证人数排行第一的商业计算机取证认证。
获得EnCE认证的调查员已具备计算机调查取证技能且能熟练使用EnCase取证软件开展综合的计算机调查取证工作。
二
知识体系
EnCE知识体系主要由四个核心知识领域组成,分别为计算机基础、使用EnCase进行计算机证据检验分析、最佳取证实践和相关法律。
第一部分:计算机基础涵盖了计算机工作基本原理(CMOS、开机启动顺序、数制转化和文件系统基础(FAT/NTFS/exFAT)等内容。
第二部分:使用EnCase进行计算机证据检验分析是EnCE考试要点,内容涵盖EnCase证据文件、EnCase基本概念、EnCase运行环境、EnCase证据处理器、索引查询、关键词搜索(编码、GREP语法)、文件签名及哈希分析等。
第三部分:最佳取证实践涵盖第一现场响应(First Response)、电子证据获取、操作系统痕迹、实验室流程等内容。
第四部分:美国相关法律(国际考生考题不涉及法律部分)
注: 详细知识体系可参考EnCE Study Guide
三
认证要求和基本流程
步骤1
培训及经验要求 (满足其中一项)
1、考生必须已参加64学时的EnCase计算机取证培训(要求参加EnCase Computer Forensics Phase I及EnCase Computer Forensics Phase II课程)
2、考生必须具备1年以上相关取证调查工作经验(通常需雇主提供相关的证明)
步骤2
填写EnCE考试申请
下载EnCE考试申请表,并发送给美国Guidance Software公司认证协调员,具体联系信息如下:
Guidance Software, Inc.
Attn: EnCE Certification Coordinator
1055 East Colorado Boulevard Suite 400
Pasadena, CA 91106-2375
步骤3
考试注册
1、一旦考试申请收到并获得批准后,您将收到EnCase认证协调员发来的认证考试付款说明,付款可通过信用卡、支票或订单等方式。
2、如果你参加过EnCE认证辅导培训课程(EnCE Prep),一旦你申请获得批准,就会立即收到一封确认电子邮件。
步骤4
参加Phase I考试 (笔试)
1、采用ExamBuilder进行在线考试,要求在2个小时内完成考试。考试题目为180道题(国际考生考题为174道,考题不涉及法律)。
2、最低通过考试分数为80%(正确率)。
3、未通过笔试必须等待2个月才能重新考试,且必须重新支付考试费用。在重考前,如工作单位或个人信息变更需要重新填写申请表。
步骤5
参加Phase II考试(实践考试)
1、 在通过Phase I考试后,考生会收到一个参加Phase II考试所需的电子授权文件。
2、要求在60天内完成Phase II考试。如遇特殊情况,EnCE协调员可根据实际情况延期最多30天。
3、最低通过考试分数为85% (正确率),共有18道考题。考生必须尽最大能力详细回答15道题,才能提交答卷进行评估。如未能满足该条件,将会被认定考试未完成,该阶段的考试未能通过。 考生须等待60天,然后才能重新参加Phase I和Phase II考试。
4、未通过考试的考生需等待2个月(从考试到期日算起)才能重新参加考试。考生必须与认证协调员联络并确认重考日期。如未与认证协调员确认重考日期,考生需要重新参加第一阶段考试(Phase I)。考生如未能通过Phase II考试重考, 只能全部重考,即参加第一阶段考试(Phase I)和第二阶段考试(Phase II)。在重考前,若考生所在的单位或个人信息发生变更,则要求重新提交申请。
5、考生未按时间要求完成或提交第二阶段(Phase II)考试资料,则需要等待两个月(从考试到期日算起)才能重新考试。
步骤6
EnCE认证及认证持续的流程
1、通过第二阶段考试(Phase II)的考生将会收到通知,并获得一份EnCE证书电子版及钱包卡片。
2、 EnCE证书有效期为3年(从获得之日起计算)。认证持续保持流程及CPE学分获得的更多详细信息可访问Guidance Software官方网站了解。
3、EnCE认证调查员必须了解自己持有证书的过期日期。一旦认证证书过期,要求必须重新考试,从Phase I考试开始。如果无法确认证书过期日期,可发送邮件至certification@guid.com进行咨询。
4、当考生在参加EnCE考试(Phase I和Phase II)时,联系任何任何其他EnCE调查员或讲师都将被认定为作弊,考试立即取消且以后不能再次参加考试。
四
主要知识资源
Guidance Software为考生提供了EnCE学习指南的参考资源,考生可根据考点要求进行自学或参加Guidance Software在中国大陆的授权培训合作机构(ATP)提供的培训课程获得考试要求的相关知识。
1、EnCE Study Guide学习指南
2、EnCase官方培训课程
1)EnCase Computer Forensic I (CF1) 培训教材
2)EnCase Computer Forensic II (CF2) 培训教材
3)Foundations in Digital Forensics with EnCase Forensic (DF120) 培训教材
4)Building an investigation with EnCase Forensic (DF210) 培训教材
注: Guidance Software中国大陆有其官方培训合作机构,了解美国EnCase计算机取证培训课程可咨询encase@binarydata.cn获得更多详情。
3、 参考资料或书籍
1)EnCase® Legal Journal by Guidance Software
2)EnCase® User's Manual by Guidance Software
3)EnCase Computer Forensics -- The Official EnCE: EnCase Certified Examiner Study Guide (3rd Edition)
4)Handbook of Computer Crime by Eoghan Casey
5)How Computers Work by Ron White
五
考试周期和费用及认证有效期
参加第一阶段考试(Phase I)的费用为200美元,国际考生(美国以外地区)的费用为300美元。该阶段考试是基于ExamBuilder系统进行在线考试。
与许多国际认证考试一样,EnCE认证有设定其过期日期,证书的有效期为3年。到期前需获得要求的CPE学分(32学分)即可保持认证持续有效,否则需重新参加考试才能让证书持续有效。
六
相关链接
1、EnCE认证简介:
https://www.guidancesoftware.com/docs/default-source/training/ence-get-started.pdf?sfvrsn=6
2、EnCE学习指南
3、EnCE证书持续保持
https://www.guidancesoftware.com/docs/default-source/training/ence-renewal-form.pdf?sfvrsn=2
ACE
一
认证介绍
AccessData Certified Examiner,简称ACE(下文亦简称ACE),是由知名取证软件FTK(Forensic Toolkit)生产商美国AccessData公司推出的计算机取证的企业认证。
ACE是目前国外认可度较为高的计算机取证认证之一,其主要考察参加人员的FTK系列软件(包括Forensic Toolkit、FTK Imager、Registry Viewer、PRTK)的应用能力,根据官方统计数字,截止目前,已有来自52个国家的超过5000人通过了ACE认证。
自2014年起,ACE认证的相关事宜改由与AccessData相关联的Syntricate公司运营。
目前,ACE考试有英文、中文和西班牙文三种版本。
二
认证要求和基本流程
ACE考试主要考察参与者使用AccessData FTK系列软件(包括Forensic Toolkit、FTK Imager、Registry Viewer、PRTK)进行证据获取、证据分析、关键词搜索、系统痕迹和文件痕迹分析、注册表调查等在内的一系列取证调查工作的熟悉程度,
ACE考试目前考试形式为:申请者自行下载证据文件,使用FTK软件进行取证分析,并登陆网站注册考试,回答完成40道单项选择题,答对75%的题目即为通过考试。
申请参加ACE考试完全免费,主要流程如下:
1、自学FTK软件的相关知识。
2、下载考试用证据镜像文件:
https://ad-pdf.s3.amazonaws.com/training/ Training%20Docs/ACEv5Image.ad1
3、使用FTK软件对下载的证据文件进行处理。
4、注册考试,注册地址:
https://www.mytestcom.net/app/myTestcom.cfm?accountLogin=AccessData123
5、根据证据文件的结果,完成40道单项选择题。
6、答题结束后,网站将直接给出考试结果。
三
主要知识资源
1、ACE Study Guide(ACE学习指南):
https://www.syntricate.com/files/ACE%20Study%20Guide%20Aug%202013.pdf
2、ACE准备视频:分为五个模块,可在以下页面的最底端找到:
https://www.syntricate.com/computer-forensics-certification.html
四
考试周期和费用及认证有效期
ACE考试目前为免费。
由于ACE考试主要侧重于考察对于FTK系列软件的使用情况,在准备ACE考试的时候,学员应具备FTK软件供练习和考试使用。
ACE认证的有效期为通过考试后的两年,两年后,持证人需再次参加最新版本的ACE考试以维持其ACE有效性。
五
相关链接
1、ACE考试网站:
https://www.syntricate.com/computer-forensics-certification.html
2、与ACE认证负责人进行联系:
小编语录
这是关于电子数据取证鉴定的培训与认证的第二篇,小编特地邀请了国内首位获得EnCE认证的徐志强先生和ACE认证的获得者孙奕先生撰写了EnCE和ACE介绍。大家如果想了解这些认证更深入的信息可自行与他们联系,小编也可帮助转达大家的问题。
下期,小编将继续为大家详细介绍电子数据取证鉴定的培训与认证中关于行业内中立机构的认证,更多精彩内容尽请关注“电子数据取证与鉴定”。
