با توجه به جرم های زیادی که امروزه در فضای مجازی وجود دارد و روز به روز به انواع و تعداد آن ها افزوده می شود ، علم کامپیوتر فارنزیک به یکی از زیر شاخه های اصلی امنیت سایبری تبدیلشده است
امروزه هرسازمانی نیاز به فرد یا افرادی دارد که در صورت بروز یه اتفاق در سازمان بتواند با جمع آوری ، بررسی و تجزیه و تحلیل شواهد و مدارک دیجیتال بتواند یک فرضیه را اثبات یا رد کند
در گذشته نه چندان دور می توانسیم با گذراندن ۶۰ ساعت دوره آموزشی و حل چندین پرونده تبدیل به کارشناس جرائم رایانه ای شویم ، اما در حال حاضر این امکان وجود ندارد و برای تبدیل شدن به یک کارشناس جرائم رایانه ای مسیر سختی پیش رو وجود دارد که در این مقاله سعی داریم به تشریح این مسیر درست بپردازیم :
برای کار کردن در حوزه فارنزیک داشتن اطلاعات کافی در زمینه شبکه اولین پیش نیاز اساسی می باشد که از لحاظ مدرک و سطح دانش گذارندن دوره های معادل MCSE. وCCNA توصیه می شود
پیش نیاز دوم دانشتن دانش مقدماتی تست نفوذ می باشد و شناخت حملات گوناگون در لایه ها ی مختلف و شیوه های نفوذ به سیستم عامل ها ، شبکه و برنامه های کاربردی که توصیه می شود افراد دوره های CEH و PWK را به عنوان پیش نیاز بگذرانند
افراد پس از گذاراندن موارد ذکر شده می توانند به ترتیب ذیل دوره های فارنزیک را پشت سر بگذارند :
# فارنزیک عمومی
دوره CHFI را به عنوان اولین دوره بررسی جرائم رایانه ای بگذرانند در دوره CHFI به افراد مفاهیم اولیه علم کامپیوتر فارنزیک ، جمع آوری شواهد دیجیتالی از صحنه جرم شیوه ایمن سازی و نگهداری شواهد و مدارک ،تجزیه و تحلیل شواهد و مدارک در بخش های مختلف ازقبیل سیستم عامل ، شبکه ، وب سرور و موبایل آموزش داده میشود .
پس از گذارندن دوره CHFI. افراد میتوانند با توجه به بخش های مختلف و بر اساس دوره های شرکت به صورت تخصصی در یک یا چند موضوع فارنزیک بصورت تخصصی ادامه دهند که این بخش ها عبارتند از :
# ویندوز فارنزیک
دوره FOR500 یا همان ویندوز فارنزیک به افراد روش های جمع آوری اطلاعات و تجزیه و تحلیل شواهد و مدارک مختلف را از بخش های مختلف سیستم عامل ویندوز میدهد با توجه به اینکه درصد زیادی از سیستم عامل های دنیا ویندوز می باشد دانستن اطلاعات این دوره برای یک کارشناس جرائم رایانه ای الزامی می باشد
# فارنزیک شبکه
یکی از بهترین بستر ها برای جمع آوری شواهد و مدارک دیجتالی بستر شبکه می باشد زیرا شواهد قبل از رسیدن به برنامه ها و سیستم عامل و به صورت اورجینال قابل بررسی می باشد یک کارشناس فارنزیک باید توانایی تجزیه و تحلیل لاگ تجهیزات لایه ۲ و ۳ و همچنین بررسی و تجزیه تحلیل لاگ های پروتکل های netflow , syslog و همچنین pcap فایل ها را داشته باشد مناسب ترین دوره برای بدست آوردن این توانایی ها دوره FOR572 می باشد
# مموری فارنزیک
امروزه بیشتر بدافزارها و rootkit ها در حافظه موقت سیستم اقامت دارند به گونه ای که فقط در مموری میتوانیم رفتار آن ها را ردیابی کنیم ، هدف این بخش تجزیه و تحلیل پروسس ها ، kernel object ، syscenter و بررسی جداولی می باشد که ارتباط بین user land , kernel land را برقرار میکنند ، می باشد همچنین بررسی رفتار یک کاربر برروی مموری و جمع آوری شواهد و مدارکی مانند : کلید های رمزنگاری ، پسورد های برنامه های مختلف و بسیاری از موارد دیگر از مطالب این بخش می باشد .برای بدست آوردن موارد ذکر شده توصیه می شود افراد دوره FOR526 موسسه SANS را بگذرانند
# موبایل فارنزیک
با توجه به گستردگی استفاده از تلفن همراه و تبلت ، اکثر افرادی بخش عمدی از فعالیت های خود را با استفاده از تلفن های هوشمند انجام میدهند و برای یک کار شناس جرایم رایانه ای لازم است که توانایی بررسی فعالیت هایی که بر روی تلفن های همراه با سیستم عامل های مختلف انجام شده است را داشته باشد بررسی تماس ها ، لاگ های و چت های مربوط به شبکه های اجتماعی ، موقعیت های جغرافیایی که افراد با تلفن همرا در آنجا حضور داشتند و بسیاری از موارد دیگر . مناسب ترین پک آموزشی برای بدست آوردن توانایی موبایل فارنزیک دوره FOR585 موسسه SANS می باشد .
1 دیدگاه. Leave new
خیلی مفید.