重庆市新职业考核标准
(试行)
电子数据取证分析师
重庆市职业技能公共实训中心 编审
电子数据取证分析师
考核标准
1 职业概况
1.1 职业名称
电子数据取证分析师
1.2 职业定义
从事电子数据的收集提取、数据恢复及取证分析的人员。
1.3 职业技能等级
根据职业的实际情况,本职业共设 三个等级,分别为:初级、中级、高级。
1.4 职业环境条件
室内, 常温。
1.5 职业能力特征
具有较强的计算、操作和逻辑思维能力,具有一定的空间感、形体知觉及觉,手指、手臂灵活,动作协调。
1.6 普通受教育程度
高中毕业(或同等学历)。
1.7 职业技能考核要求
1.7.1 申报条件
——具有以下条件之 一者, 可申报初级 :
( 1 ) 累计从事本职业或相关职业工作 2 年(含)以上 , 经本职业初级正规培训达规定标准学时数 。
( 2 ) 取得技工学校本专业或相关专业毕业证书(含尚未取得毕业证书的在校应届毕业生);或取得经评估论证、以中级技能为培养目标的中等及以上职业 学校本专业或相关专业毕业证书(含尚未取得毕业证书的在校应届毕业生)。
一一具备以下条件之一者,可申报中级
(1) 取得本职业或相关职业初级证书(技能等级证书后,累计从事本职业或相关职业工作 2 年(含)以上,经本职业中级正规培训达规定标准学时数。
( 2 ) 取得本职业或相关职业初级证书(技能等级证书),并具有高级技工学校、技师学院毕业证书;或取得本职业或相关职业初级证书(技能等级证书),并具有经评估论证、以高级技能为培养目标的高级职业学校本专业或相关专业毕业证书。
( 3 ) 具有大专及以上本专业或相关专业毕业证书,并取得本职业或相关职业初级证书(技能等级证书)后,累计从事本职业或相关职业工作 1 年(含) 以上。
—— 具备以下条件之一者, 可申报高级:
( 1 ) 取得本职业或相关职业中级证书(技能等级证书)后, 累计从事本职业或相关职业工作 3 年(含)以上,经本职业技师正规培训达规定标准学时数。
( 2 ) 取得本职业或相关职中级证书(技能等级证书)的高级技工学校、技师学院毕业生,累计从事本职业或相关职业工作 3 年(含 )以上;或取得本职业或相关职中级证书(技能等级书),具有本职业或相关职业预备技师证书的技师学院毕业生,累计从事本职业或相关职业工作 2 年(含)以上。
1.7.2 考核方式
分为理论知识考试、技能考核的方法和形式。
理论知识考试采用上机考核的方式,主要考核从业人员从事本职业应掌握的基本要求和相
关知识要求;技能考核主要采用模拟操作方式进行,主要考核从业人员从事本职业应具备的技能水平。
理论知识考试、技能考核均实行百分制,成绩皆达 60 分(含)以上者为合格。
1.7.3 监考人员、考评人员与考生配比
理论知识考试中的监考人员与考生配比不低于 1: 15,且每个标准考场不少于 2 名监考人员;技能考核中的考评人员与考生配比不低于 1: 15,且考评人员为 2 人(含)以上。
1.7.4 考核时间
理论知识考试时间不少于 90min, 技能考核时不少于90min。
1.7.5 考核场所设备
理论知识考试与技能考核场所为标准教室、计算机教室。
2 考核要求
本标准对初级、中级和高级的技能要求一次递进,高级别涵盖低级别的要求。
2.1 初级
职业模块 | 培训模块 | 技能培训内容 | 理论知识培训内容 |
1.取证环境部署 | 1.1电子数据取证技术规范 | 1.1.1 电子数据取证的操作流程 1.1.2 电子数据取证的基本原则 1. 1.3 电子数据取证通用程序 | 1.1.1电子数据取证名词术语 1.1.2电子数据鉴定基本原则 1.1.3 案件受理流程 1.1.4 档案管理要求 1.1.5 电子数据证据具备特征 |
1.2工具使用 | 1.2.1 磁盘文件取证复制工具的使用 1.2.2 数据恢复工具的使用 | 1.2.1磁盘文件取证复制工具FTK imager的使用 1.2.2数据恢复工具R-Studio的使用 | |
1.3制作证据镜像 | 1.3.1能够制作DD、E01镜像文件 1.3.2能够使用NETCAT远程克隆硬盘 | 1.3.1 磁盘镜像制作步骤 1.3.2 证据镜像格式类型 | |
1.4系统仿真 | 1.4.1 能够通过虚拟机技术,对装有Windows、MacOS、Linux等多种操作系统硬盘和镜像文件进行无痕仿真启动 1.4.2能够对各种物理硬盘,以及DD、E01等格式的磁盘镜像进行仿真 | 1.4.1 系统仿真技术定义 1.4.2 系统仿真名词术语 | |
2.电子数据取证 | 2.1计算机取证分析 | 2.1.1 能够制作证据镜像,转换镜像文件格式 2.1.2能够备份和提取证据文件(如隐藏文件,受保护系统文件) 2.1.3能够对计算机文件的创建时间、修改时间、访问时间,邮件的发送时间、接收时间、保存时间,文件传输的创建时间、接收时间、完成时间等时间属性进行时间线分析 2.1.4能够对当前运行操作系统下的历史命令记录、防火墙规则、登录日志、网络连接、网卡信息、系统信息、进程信息、用户信息进行快速提取并固定 2.1.5能够对系统概况、系统磁盘使用情况、内存使用情况、用户列表、进程列表、系统启动项、IP地址等信息提取并固定 | 2.1.1查看系统基本信息的方法 2.1.2获取系统网络配置信息 2.1.3查看系统正在运行进程的方法 2.1.4监听端口和对应的当前连接方法 |
2.2手机取证分析 | 2.2.1能够对手机文件的创建时间、修改时间、访问时间,邮件的发送时间、接收时间、保存时间,文件传输的创建时间、接收时间、完成时间等时间属性进行时间线分析 2.2.2 能够对即时信息/聊天记录进行提取与鉴定 2.2.3 能够提取手机系统数据 2.2.4 能够提取手机应用数据进行在线仿真,通过仿真模拟器查看手机QQ、、新浪微博等数据,进行调查分析并截图作为取证报告辅助证据,且不破坏原有手机数据的完整性及有效性。 2.2.5 能够在手机提取镜像后,通过手机仿真系统,可以加载镜像进行离线仿真。通过仿真模拟器上查看手机QQ、、新浪微博等数据,进行调查分析并截图取证。 | 2.2.1了解SQLite数据库的结构 2.2.2掌握SQLite分析中常用的SQL语句 2.2.3掌握SQLite数据库文件结构的恢复 2.2.4 掌握SQLite 日志的数据恢复方法 2.2.5获取手机系统信息相关指令的方法 | |
2.3网络取证分析 | 2.3.1能够对域名、服务器IP、端口、服务器软件种类和版本等各种网站运行状态信息进行固定 2.3.2能够对系统概况、系统磁盘使用情况、内存使用情况、用户列表、进程列表、系统启动项、IP地址等提取 2.3.3能够对系统DNS 缓存中所访问过的域名、所对应的 IP 地址及该 IP 归属地等信息提取 2.3.4 能够对登录日志、文件访问日志、历史命令日志、系统日志、应用日志、安全日志、内核日志、浏览器历史等提取 2.3.5能够对系统所启用的网络端口、所使用的协议类型、远程服务器 IP、远程连接IP 地址归属地、端口及所对应的进程等信息提取 2.3.6 能够对远程主机当前网络通信状态,进行数据包的定制获取,并对数据包进行分析; 2.3.7能够获取远程服务器文件系统、目录等。 | 2.3.1了解网络取证的定义和特点 2.3.2了解网络监控的程序 2.3.3了解网络取证的数据来源 2.3.4掌握云存储取证的基本方法 | |
2.4 APP溯源取证分析 | 2.4.1能够对APK文件主函数名、签名证书MD5、签名算法、签名公钥、签名类型、证书版本、证书使用者、证书颁发者等信息提取 2.4.2 支持对APK 进行网络数据包提取 2.4.3 能够提取 APK 文件的基本信息、详细信息 2.4.4 能够通过动态监控对 APK 获取用户信息、操作手机、网络信息等内容进行全程监控 | 2.4.1 查看apk请求的权限 2.4.2 Android编译过程 2.4.3 Android编译基本语法规则 2.4.4 掌握 APK文件结构 2.4.5 Apk反编译流程 | |
2.5工控系统取证分析 | 2.5.1 能够直接对PLC控制器进行数据提取并分析 2.5.2 能够对工控系统进行端口信息进行提取 | 2.5.1 PLC的构成 2.5.2 PLC的 I/O模块 2.5.3 PLC的CPU构成 | |
3数据恢复 | 3.1 硬件物理故障数据恢复 | 3.1.1 掌握盘片的清洗方法 3.1.2 掌握硬盘电机和盘体的更换方法 3.1.3 硬盘电机更换后敲盘的数据恢复方案 3.1.4 掌握固态硬盘、机械硬盘的固件修复 | 3.1.1 常见硬盘的内部结构 3.1.2 硬盘工作的原理 3.1.3 更换硬盘磁头和盘片的注意事项 3.1.4 硬盘安全模式的设置 3.1.5 硬盘的 ROM 替换方法 |
3.2逻辑故障数据恢复 | 3.2.1 能够提取数据,制做映像,克隆硬盘 3.2.2 能够使用数据恢复软件对FAT32、NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1分区丢失的数据恢复 3.2.3 能够使用数据恢复软件对FAT32、NTFS、EXFAT、HFS+、EXT3、 EXT4、UFS1分区数据被删除的恢复 3.2.4 能够使用数据恢复软件对FAT32、NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1分区数据误格式化的恢复 3.2.5 能够使用数据恢复软件对FAT32、NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1分区数据误GHOST的恢复 | 3.2.1 理解FAT32文件系统的整体结构与DBR的结构 3.2.2 理解ExFAT文件系统的整体结构与DBR的结构 3.2.3 掌握手工提取ExFAT文件系统中数据的方法 3.2.4理解NTFS、EXT3、EXT4、HFS+、UFS1文件系统的整体结构 | |
3.3数据库数据恢复 | 3.3.1 能够对Mysql、SQLServer数据库进行恢复 3.3.2 对数据库文件损坏、数据库被删除,能够通文件恢复进行数据库的重组与解析 | 3.3.1 数据库管理系统的概念 3.3.2 常见的数据库管理系统 3.3.3 数据库的重组 | |
3.4 文件修复 | 3.4.1 能够对损坏的JPG图像文件进行修复 3.4.2 能够对损坏的PNG图像文件进行修复 3.4.3 能够对损坏的BMP图像文件进行修复 | 3.4.1 理解JPG图像文件数据结构 3.4.2 理解PNG图像文件数据结构 3.4.3 理解BMP图像文件数据结构 | |
3.5 磁盘阵列数据恢复 | 3.5.1 能够判断RAID 通常出现的故障可能性 3.5.2 能够掌握常见的 RAID 数据丢失情形 3.5.3 常见 RAID 级别的恢复方法 | 3.5.1 RAID 简介及分类 3.5.2 RAID 磁盘阵列组合原理 3.5.3 RAID 01 与 RAID 10 3.5.4 RAID 50 3.5.5 常见的 RAID 故障类型 3.5.6 RAID 数据恢复恢复技术原理 3.5.7 RAID 类型的判断 | |
2.2 中级
职业模块 | 培训模块 | 技能培训内容 | 理论知识培训内容 |
1.取证环境部署 | 1.1电子数据取证技术规范 | 1.1.1 电子数据取证的操作流程 1.1.2 电子数据取证的基本原则 1. 1.3 电子数据取证通用程序 | 1.1.1 电子数据取证名词术语 1.1.2 电子数据鉴定基本原则 1.1.3 案件受理流程 1.1.4 档案管理要求 |
1.2 工具使用 | 1.2.1 磁盘文件取证复制工具的使用 1.2.2 数据恢复工具的使用 1.2.3 取证分析工具的使用 | 1.2.1 磁盘文件取证复制工具FTK imager的使用 1.2.2 数据恢复工具R-Studio的使用 1.2.3 网络取证分析工具Xplico的使用 1.2.4 取证分析工具X-Ways Forensics、WindowsSCOPE的使用 | |
1.3 制作证据镜像 | 1.3.1能够制作DD、E01镜像文件 1.3.2能够远程克隆硬盘或分区,并能制作成镜像文件 | 1.3.1 磁盘镜像制作步骤 1.3.2 证据镜像格式类型 1.3.3 NETCAT远程克隆硬盘 | |
1.4 系统仿真 | 1.4.1 能够通过虚拟机技术,对装有Windows、MacOS、Linux等多种操作系统硬盘和镜像文件进行无痕仿真启动 1.4.2能够对各种物理硬盘,以及DD、E01等格式的磁盘镜像进行仿真 1.4.3能够对网络驱动器中的镜像仿真 | 1.4.1 系统仿真技术定义 1.4.2 系统仿真名词术语 1.4.3 系统仿真技术的应用 | |
2.电子数据取证 | 2.1计算机取证分析 | 2.1.1 能够制作证据镜像,转换镜像文件格式 2.1.2能够备份和提取证据文件(如隐藏文件,受保护系统文件) 2.1.3能够对计算机文件的创建时间、修改时间、访问时间,邮件的发送时间、接收时间、保存时间,文件传输的创建时间、接收时间、完成时间等时间属性进行时间线分析 2.1.4 能够对当前运行操作系统下的历史命令记录、防火墙规则、登录日志、网络连接、网卡信息、系统信息、进程信息、用户信息进行快速提取并固定 2.1.5能够对系统概况、系统磁盘使用情况、内存使用情况、用户列表、进程列表、系统启动项、IP地址等信息提取并固定 2.1.6 能够校验证据一致性 2.1.7 能够判断系统故障,并能识别恶意软件、病毒或木马 2.1.8 能够查看TCP/UDP的端口使用情况;可以根据端口结束程序;可以关闭正在使用指定的端口的连接; | 2.1.1查看系统基本信息的方法 2.1.2获取系统网络配置信息 2.1.3查看系统正在运行进程的方法 2.1.4监听端口和对应的当前连接方法 2.1.5打开TCP/IP端口的所有进程方法 2.1.6对已获取的证据制作MD5的Hash码方法 2.1.7掌握UNIX/Linux环境中易失性证据的获取方法 |
2.2手机取证分析 | 2.2.1 能够对手机文件的创建时间、修改时间、访问时间,邮件的发送时间、接收时间、保存时间,文件传输的创建时间、接收时间、完成时间等时间属性进行时间线分析 2.2.2 能够对即时信息/聊天记录进行提取与鉴定 2.2.3 能够提取手机系统数据 2.2.4能够提取手机应用数据进行在线仿真,通过仿真模拟器查看手机QQ、、新浪微博等数据,进行调查分析并截图作为取证报告辅助证据,且不破坏原有手机数据的完整性及有效性。 2.2.5能够在手机提取镜像后,通过手机仿真系统,可以加载镜像进行离线仿真。通过仿真模拟器上查看手机QQ、、新浪微博等数据,进行调查分析并截图取证。 2.2.6 能够对iPhone免越狱提权取证 2.2.7 能够对Android设备免ROOT数据提取提权取证 2.2.8 能够对Android、iOS密码破解 2.2.9 能够对Android设备免拆机刷机,ADB直连提权提取 2.2.10 能够对即时信息/聊天记录进行提取与鉴定 | 2.2.1了解SQLite数据库的结构 2.2.2 掌握SQLite分析中常用的SQL语句 2.2.3 掌握SQLite数据库文件结构的恢复 2.2.4 掌握SQLite 日志的数据恢复方法 2.2.5获取手机系统信息相关指令的方法 2.2.6常用的adb指令集 2.2.7常见APP的用户数据文件保存路径 | |
2.3网络取证分析 | 2.3.1 能够对域名、服务器IP、端口、服务器软件种类和版本等各种网站运行状态信息进行固定 2.3.2能够对系统概况、系统磁盘使用情况、内存使用情况、用户列表、进程列表、系统启动项、IP地址等提取分析 2.3.3能够对系统DNS 缓存中所访问过的域名、所对应的 IP 地址及该 IP 归属地等信息提取分析 2.3.4 能够对登录日志、文件访问日志、历史命令日志、系统日志、应用日志、安全日志、内核日志、浏览器历史等提取分析 2.3.5能够对系统所启用的网络端口、所使用的协议类型、远程服务器 IP、远程连接IP 地址归属地、端口及所对应的进程等信息提取分析 2.3.6 能够对远程主机当前网络通信状态,进行数据包的定制获取,并对数据包进行分析; 2.3.7 能够获取远程服务器文件系统、目录等。 | 2.3.1了解网络取证的定义和特点 2.3.2了解网络监控的程序 2.3.3了解网络取证的数据来源 2.3.4掌握云存储取证的基本方法 2.3.5掌握利用网络取证分析工具获取和分析网络数据包的基本方法 2.3.6掌握利用蜜罐技术进行网络取证的基本方法 | |
2.4 APP溯源取证分析 | 2.4.1能够对APK文件主函数名、签名证书MD5、签名算法、签名公钥、签名类型、证书版本、证书使用者、证书颁发者等信息提取分析 2.4.2 支持对APK 进行网络数据包提取分析 2.4.3 能够提取 APK 文件的基本信息、详细信息,并分析该 APK 申请的所有权限 2.4.4 能够通过动态监控对 APK 获取用户信息、操作手机、网络信息等内容进行全程监控 | 2.4.1 Android编译过程 2.4.2 Android编译基本语法规则 2.4.3 掌握 APK文件结构 2.4.4 Apk反编译流程 2.4.5 使用jd-gui查看jar包中的Java代码的方法 2.4.6 查看apk请求的权限 | |
2.5工控系统取证分析 | 2.5.1 能够直接对PLC控制器进行数据提取并分析 2.5.2 能够对工控系统进行端口信息进行提取分析 2.5.3 能够远程获取PLC数据 | 2.5.1 PLC的构成 2.5.2 PLC的 I/O模块 2.5.3 PLC的CPU构成 2.5.4 内部采集PLC的数据 | |
3数据恢复 | 3.1 硬件物理故障数据恢复 | 3.1.1 掌握盘片的清洗方法 3.1.2 掌握硬盘电机和盘体的更换方法 3.1.3硬盘电机更换后敲盘的数据恢复方案 3.1.4掌握固态硬盘、机械硬盘的固件修复 3.1.5 掌握硬盘电路板更换注意事项 | 3.1.1 常见硬盘的内部结构 3.1.2 硬盘工作的原理 3.1.3 更换硬盘磁头和盘片的注意事项 3.1.4硬盘安全模式的设置 3.1.5硬盘的 ROM 替换方法 |
3.2逻辑故障数据恢复 | 3.2.1 能够提取数据,制做映像,克隆硬盘 3.2.2 能够使用数据恢复软件对FAT32、NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1分区丢失的数据恢复 3.2.3 能够使用数据恢复软件对FAT32、NTFS、EXFAT、HFS+、EXT3、 EXT4、UFS1分区数据被删除的恢复 3.2.4 能够使用数据恢复软件对FAT32、NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1分区数据误格式化的恢复 3.2.5 能够使用数据恢复软件对FAT32、NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1分区数据误GHOST的恢复 3.2.6 能够对 MD5和SHA两种模式Hash效验计算 3.2.7 能够虚拟重建翻译器后提取数据 | 3.2.1 理解FAT32文件系统的整体结构与DBR的结构 3.2.2 理解ExFAT文件系统的整体结构与DBR的结构 3.2.3 掌握手工提取ExFAT文件系统中数据的方法 3.2.4理解NTFS、EXT3、EXT4、HFS+、UFS1文件系统的整体结构 | |
3.3数据库数据恢复 | 3.3.1 能够对Mysql、SQLServer数据库进行恢复 3.3.2 对数据库文件损坏、数据库被删除,能够通文件恢复进行数据库的重组与解析 | 3.3.1数据库管理系统的概念 3.3.2常见的数据库管理系统 3.3.3数据库的重组 | |
3.4文件修复 | 3.4.1 能够对损坏的JPG图像文件进行修复 3.4.2 能够对损坏的PNG图像文件进行修复 3.4.3 能够对损坏的BMP图像文件进行修复 3.4.4 能够对损坏的符合文档文件进行修复 3.4.5 能够对损坏的RTF文档进行修复 | 3.4.1 理解JPG图像文件数据结构 3.4.2 理解PNG图像文件数据结构 3.4.3 理解BMP图像文件数据结构 3.4.4 掌握复合文档文件头结构 3.4.5 掌握RTF文档结构 | |
3.5 磁盘阵列数据恢复 | 3.5.1 能够判断RAID 通常出现的故障可能性 3.5.2 能够掌握常见的 RAID 数据丢失情形 3.5.3 常见 RAID 级别的恢复方法 3.5.4 RAID 0 的数据恢复 3.5.5 RAID 1 的数据恢复 3.5.6 RAID 5 的数据恢复 | 3.5.1 RAID 简介及分类 3.5.2 RAID 磁盘阵列组合原理 3.5.3 RAID 01 与 RAID 10 3.5.4 RAID 50 3.5.5 常见的 RAID 故障类型 3.5.6 RAID 数据恢复恢复技术原理 3.5.7. RAID 类型的判断 | |
2.3 高级
职业模块 | 培训模块 | 技能培训内容 | 理论知识培训内容 |
1.取证环境部署 | 1.1电子数据取证技术规范 | 1.1.1 电子数据取证的操作流程 1.1.2 电子数据取证的基本原则 1.1.3 电子数据取证通用程序 1.1.4 电子数据取证通用要求 | 1.1.1 电子数据取证名词术语 1.1.2 电子数据鉴定基本原则 1.1.3 案件受理流程 1.1.4 档案管理要求 1.1.5 电子数据存储介质写保护设备要求 1.1.6 电子数据存储介质复制工具要求 |
1.2 工具使用 | 1.2.1 磁盘文件取证复制工具的使用 1.2.2 内存文件取证工具的使用 1.2.3 取证分析工具的使用 1.2.4 数据恢复工具的使用 | 1.2.1 磁盘文件取证复制工具FTK imager的使用 1.2.2 内存文件取证分析工具Volatility的使用 1.2.3 网络取证分析工具Xplico的使用 1.2.4 取证分析工具X-Ways Forensics、WindowsSCOPE的使用 1.2.5 数据恢复工具R-Studio的使用 | |
1.3 制作证据镜像 | 1.3.1 能够制作DD、E01、smart、vmdk、gho、nero镜像文件 1.3.2 能够远程克隆硬盘或分区,并能制作成镜像文件 | 1.3.1 磁盘镜像制作步骤 1.3.2 证据镜像格式类型 1.3.3 NETCAT远程克隆硬盘 | |
1.4 系统仿真 | 1.4.1 能够通过虚拟机技术,对装有Windows、MacOS、Linux等多种操作系统硬盘和镜像文件进行无痕仿真启动 1.4.2 能够对网络驱动器中的镜像仿真 1.4.3能够对各种物理硬盘,以及DD、E01等格式的磁盘镜像进行仿真 1.4.4 能够对QCOW/QCOW2/QCOW3、VHD、VHDX,RAW,ZVHD2等格式的云服务器镜像进行直接仿真 | 1.4.1 系统仿真技术定义 1.4.2 系统仿真技术的应用 1.4.3 系统仿真名词术语 1.4.4 系统仿真对电子数据取证的意义 | |
2.电子数据取证 | 2.1计算机取证分析 | 2.1.1 能够制作证据镜像,转换镜像文件格式 2.1.2 能够校验证据一致性 2.1.3 能够备份和提取证据文件(如隐藏文件,受保护系统文件) 2.1.4 能够制作哈希库,扫描EFS加密数据, 2.1.5 能够提取内存数据,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中 2.1.6 能够对计算机文件的创建时间、修改时间、访问时间,邮件的发送时间、接收时间、保存时间,文件传输的创建时间、接收时间、完成时间等时间属性进行时间线分析 2.1.7 能够对当前运行操作系统下的历史命令记录、防火墙规则、登录日志、网络连接、网卡信息、系统信息、进程信息、用户信息进行快速提取并固定 2.1.8 能够对系统概况、系统磁盘使用情况、内存使用情况、用户列表、进程列表、系统启动项、IP地址等信息提取并固定 2.1.9 能够使用十六进制编辑器解析和编辑一切可视的二进制文件 2.1.10 能够判断系统故障,并能识别恶意软件、病毒或木马 2.1.11 能够查看TCP/UDP的端口使用情况;可以根据端口结束程序;可以关闭正在使用指定的端口的连接; | 2.1.1 查看系统基本信息的方法 2.1.2 获取系统网络配置信息 2.1.3 查看系统正在运行进程的方法 2.1.4 监听端口和对应的当前连接方法 2.1.5 打开TCP/IP端口的所有进程方法 2.1.6 对已获取的证据制作MD5的Hash码方法 2.1.7 掌握UNIX/Linux环境中易失性证据的获取方法 2.1.8 掌握UNIX/Linux环境中重要文件目录和日志调查方法 2.1.9 掌握UNIX/Linux系统磁盘结构和引导过程 2.1.10 UNIX/Linux的网络连接信息获取方法 2.1.11 掌握数据隐藏的方法和相应的取证分析方法 |
2.2手机取证分析 | 2.2.1能够对手机文件的创建时间、修改时间、访问时间,邮件的发送时间、接收时间、保存时间,文件传输的创建时间、接收时间、完成时间等时间属性进行时间线分析 2.2.2 能够对iPhone免越狱提权取证 2.2.3 能够对Android设备免ROOT数据提取提权取证 2.2.4 能够对Android、iOS密码破解 2.2.5 能够对Android设备免拆机刷机,ADB直连提权提取 2.2.6 能够对即时信息/聊天记录进行提取与鉴定 2.2.7 能够提取手机系统数据 2.2.8 能够模拟手机运行环境,运行并登录手机应用程序,进行数据浏览和分析。 2.2.9 能够在仿真过程不破坏手机环境及用户数据的前提下,可实时抓取应用程序的通讯数据,分析应用程序的行为特征。 2.2.10 能够提取手机应用数据进行在线仿真,通过仿真模拟器查看手机QQ、、新浪微博等数据,进行调查分析并截图作为取证报告辅助证据,且不破坏原有手机数据的完整性及有效性。 2.2.11 能够在手机提取镜像后,通过手机仿真系统,可以加载镜像进行离线仿真。通过仿真模拟器上查看手机QQ、、新浪微博等数据,进行调查分析并截图取证。 2.2.12 能够在联网情况下,手机仿真系统可以实时通讯抓包,生成的抓包文件可以用第三方Wireshark软件进行数据包分析,并对手机木马、恶意软件分析及安全调查。 | 2.2.1 了解SQLite数据库的结构 2.2.2 掌握SQLite分析中常用的SQL语句 2.2.3 掌握SQLite数据库文件结构的恢复 2.2.4 掌握SQLite 日志的数据恢复方法 2.2.5 获取手机系统信息相关指令的方法 2.2.6 常用的adb指令集 2.2.7 常见APP的用户数据文件保存路径 2.2.8 SIM卡信息获取方法 | |
2.3网络取证分析 | 2.3.1 能够对域名、服务器IP、端口、服务器软件种类和版本等各种网站运行状态信息进行固定 2.3.2能够自定义脚本提取服务器数据 2.3.3 能够对网络数据包抓包分析 2.3.4 能够对防火墙规则、DNS缓存、网卡列表、网络连接、网络服务、ARP缓存等提取分析 2.3.5 能够对系统概况、系统磁盘使用情况、内存使用情况、用户列表、进程列表、系统启动项、IP地址等提取分析 2.3.6 能够对系统DNS 缓存中所访问过的域名、所对应的 IP 地址及该 IP 归属地等信息提取分析 2.3.7 能够对登录日志、文件访问日志、历史命令日志、系统日志、应用日志、安全日志、内核日志、浏览器历史等提取分析 2.3.8 能够对系统所启用的网络端口、所使用的协议类型、远程服务器 IP、远程连接IP 地址归属地、端口及所对应的进程等信息提取分析 2.3.9 能够对远程主机当前网络通信状态,进行数据包的定制获取,并对数据包进行分析; 2.3.10 能够获取远程服务器文件系统、目录等。 2.3.11 能够将远程服务器网络服务映射到本地空闲端口; 2.3.12 能够对服务器逻辑分区直接挂载回本地,并对硬盘或者分区进行分析; 2.3.13 能够直接连接远程主机所使用的数据库,查看远程数据库数据表基本情况 2.3.14能够对数据库进行备份导出,可对关系型数据库和非关系型数据库进行管理; | 2.3.1了解网络取证的定义和特点 2.3.2了解网络监控的程序 2.3.3了解网络取证的数据来源 2.3.4掌握云存储取证的基本方法 2.3.5 掌握利用网络取证分析工具获取和分析网络数据包的基本方法 2.3.6 掌握利用蜜罐技术进行网络取证的基本方法 2.3.7查看远程数据库数据表基本信息的方法 2.3.8 能对提取的日志信息进行分析 | |
2.4 APP溯源取证分析 | 2.4.1能够对APK文件主函数名、签名证书MD5、签名算法、签名公钥、签名类型、证书版本、证书使用者、证书颁发者等信息分析 2.4.2 能够对APK反编译,提供反编译代码分析工具 2.4.3 支持对APK 进行网络数据包抓包分析 2.4.4 能够对APP静态权限分析 2.4.5 能够对APP应用名称、应用包名、文件哈希、文件大小等信息分析 2.4.6能够分析 APK 文件的基本信息、详细信息,并分析该 APK 申请的所有权限 2.4.7 能够通过动态监控对 APK 获取用户信息、操作手机、网络信息等内容进行全程监控 2.4.8 能够对APK 进行网络数据包抓包分析,识别 APK 加壳,并能对其脱壳处理 2.4.9 能够进行站点分析,包含域名解析记录、注册信息、备案信息、 站点访问记录、站点访问统计、URL爬取、子站点分析、 IP反查域名 | 2.4.1 Android编译过程 2.4.2 Android编译基本语法规则 2.4.3 掌握 APK文件结构 2.4.4 掌握smali数据类型 2.4.5 掌握Dalvik字节码 2.4.6 使用apktool反编译APK获得图片与XML资源的方法 2.4.7 使用dex2jar将classes.dex转换成jar文件的方法 | |
2.5工控系统取证分析 | 2.5.1 能够直接对PLC控制器进行数据提取并分析 2.5.2 能够对工控软件脆弱性进行分析,比如错误输入验证、密码管理、越权访问、不适当的认证、系统配置等信息 2.5.3能够分析工控开发软件等工控产品中留有后门、木马信息 2.5.4能够对工控系统进行端口信息进行分析 2.5.5能够远程获取PLC数据 2.5.6 能够实现PLC远程监控,PLC远程编程,PLC远程调试,PLC远程上下载,PLC远程控制,PLC数据采集,PLC远程通讯 2.5.7 能够实现工业现场设备远程控制 | 2.5.1 PLC的构成 2.5.2 PLC的 I/O模块 2.5.3 PLC的CPU构成 2.5.4内部采集PLC的数据 2.5.5外部采集PLC的数据 2.5.6 远程采集PLC的数据 | |
3数据恢复 | 3.1 硬件物理故障数据恢复 | 3.1.1 掌握硬盘多盘片的更换方法 3.1.2 掌握盘片的清洗方法 3.1.3 掌握硬盘电机和盘体的更换方法 3.1.4 硬盘电机更换后敲盘的数据恢复方案 3.1.5 使用专用的磁头卡具拆装磁头组件流程 3.1.6 硬盘盘片划伤的数据恢复方案 3.1.7 能够对FLASH芯片数据直接读取 3.1.8 掌握固态硬盘、机械硬盘的固件修复 3.1.9 掌握硬盘电路板维修方法 | 3.1.1 常见硬盘的内部结构 3.1.2 硬盘工作的原理 3.1.3 更换硬盘磁头和盘片的注意事项 3.1.4 硬盘安全模式的设置 3.1.5 硬盘的 ROM 替换方法 3.1.6 硬盘 NV-RAM 的恢复方法 3.1.7 硬盘的翻译器恢复方法 3.1.8 硬盘 DMCS 模块的恢复方法 3.1.9 硬盘 P-LIST 模块的恢复方法 |
3.2逻辑故障数据恢复 | 3.2.1 能够提取数据,制做映像,克隆硬盘 3.2.2 能够对FAT32、NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1分区丢失的数据恢复 3.2.3 能够对FAT32、NTFS、EXFAT、HFS+、EXT3、 EXT4、UFS1分区数据被删除的恢复 3.2.4 能够对FAT32、NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1分区数据误格式化的恢复 3.2.5 能够对FAT32、NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1分区数据误GHOST的恢复 3.2.6 能够对 MD5和SHA两种模式Hash效验计算 3.2.7 能够虚拟重建翻译器后提取数据 3.2.8 能够手工重构MBR磁盘分区表 3.2.9 能够手工重构GPT磁盘分区表 3.2.10 能够使用底层编辑器对FAT32、NTFS、HFS+、EXT3、EXT4、UFS1分区数据手工提取 | 3.2.1 理解FAT32文件系统的整体结构与DBR的结构 3.2.2 掌握FAT32文件系统FAT表的作用 3.2.3 掌握FAT32文件系统目录项 3.2.4 理解ExFAT文件系统的整体结构与DBR的结构 3.2.5 理解ExFAT文件系统中FAT与簇的作用与特点 3.2.6 掌握手工提取ExFAT文件系统中数据的方法 3.2.7 理解NTFS文件系统的整体结构 3.2.8.掌握NTFS文件系统中30H 80H 90H A0H B0H属性 3.2.9 掌握NTFS文件系统中$MFT $LogFile $Root元文件 3.2.10理解EXT3文件系统的整体结构 3.2.11 理解HFS+文件系统的整体结构 3.2.12 理解UFS1文件系统的整体结构 | |
3.3数据库数据恢复 | 3.3.1 能够对Mysql、MongoDB、PostgreSQL、SQLServer数据库进行恢复 3.3.2对数据库文件损坏、数据库被删除,能够通文件恢复进行数据库的重组与解析 | 3.3.1数据库管理系统的概念 3.3.2常见的数据库管理系统 3.3.3 数据库的重组 | |
3.4 文件修复 | 3.4.1 能够对损坏的JPG图像文件进行修复 3.4.2 能够对损坏的PNG图像文件进行修复 3.4.3 能够对损坏的BMP图像文件进行修复 3.4.4 能够对损坏的符合文档文件进行修复 3.4.5 能够对损坏的RTF文档进行修复 3.4.6 能够对损坏的ZIP文件进行修复 3.4.7 能够对损坏的docx文件进行修复 | 3.4.1 理解JPG图像文件数据结构 3.4.2 理解PNG图像文件数据结构 3.4.3 理解BMP图像文件数据结构 3.4.4 掌握复合文档文件头结构 3.4.5 掌握RTF文档结构 3.4.6 掌握ZIP文件格式结构 | |
3.5 磁盘阵列数据恢复 | 3.5.1 能够判断RAID 通常出现的故障可能性 3.5.2 能够掌握常见的 RAID 数据丢失情形 3.5.3 常见 RAID 级别的恢复方法 3.5.4 RAID 0 的数据恢复 3.5.5 RAID 1 的数据恢复 3.5.6 RAID 5 的数据恢复 3.5.7 使用 Winhex 分析恢复 RAID 数据 3.5.8 使用 R-STUDIO 恢复 RAID 数据 3.5.9 使用 PC3000 RAID 恢复 RAID 数据 | 3.5.1 RAID 简介及分类 3.5.2 RADI 磁盘阵列组合原理 3.5.3 RAID 01 与 RAID 10 3.5.4 RAID 50 3.5.5 能够对IBM 公司 RAID 5E/5EE 磁盘阵列的组成特点 3.5.6 HP 公司 RAID ADG 磁盘阵列的组成特点 3.5.7 DELL 公司 RAID 阵列的组成特点 3.5.8 能够对不同品牌服务器 RAID 的组成特点数据恢复技术 3.5.9 常见的 RAID 故障类型 3.5.10 RAID 阵列出现故障应该及时采取的措施 3.5.11 RAID 数据恢复恢复技术原理 3.5.12 RAID 类型的判断 | |
发表评论