Когда происходит взлом — кто-то должен найти следы, восстановить картину и доказать вину. Этот курс сделает тебя тем самым человеком. Расследование кибер-инцидентов от А до Я: сбор цифровых доказательств, вскрытие дисков и оперативной памяти, реконструкция timeline атаки по минутам. Ты научишься работать с Autopsy, Volatility, Plaso — и писать отчёты, которые принимают в суде. DFIR-специалисты — одни из самых востребованных и высокооплачиваемых в индустрии.
Чему ты научишься
✓Применять NIST IR framework для управления инцидентами
✓Проводить корректный сбор доказательств с соблюдением chain of custody
✓Создавать и анализировать образы дисков в Autopsy и FTK
✓Анализировать дампы оперативной памяти в Volatility 3
✓Извлекать и интерпретировать артефакты Windows и Linux
✓Проводить сетевую форензику и анализ PCAP
✓
Реконструировать timeline атаки из множества источников
✓Выполнять быстрый triage вредоносных файлов
✓Писать форензик-отчёты для руководства и судебных инстанций
Что нужно знать
•Опыт работы в SOC или прохождение FC-06
•Уверенное владение Windows и Linux на уровне командной строки
•Понимание сетевых протоколов и архитектуры ОС
Программа
T1
Реагирование на инциденты
Когда сработал алерт и всё горит — нужен план. Здесь ты освоишь полный цикл реагирования: от первого звонка до post-mortem, по мировым стандартам NIST и SANS.
M1
IR Framework и подготовка
5 карт · 5 шагов · тест 14 вопросов
Фреймворки, планы, роли, юридические тонкости — фундамент, без которого расследование превращается в хаос.
1.
NIST и SANS IR-фреймворкиДва ведущих фреймворка реагирования на инциденты — NIST SP 800-61 и SANS PICERL — определяют стандартные фазы от подготовки до извлечения уроков. Понимание обоих позволяет построить зрелый IR-процесс в любой организации.1 шагов
2.
Построение IR-плана организацииIR-план — центральный документ, определяющий кто, что и когда делает при инциденте. Хороший план включает scope, классификацию, матрицу эскалации, коммуникационные процедуры и регулярно тестируется через tabletop-учения.1 шагов
3.
Роли и ответственности в IR-командеЭффективная IR-команда (CSIRT) включает чёткие роли: IR Lead, SOC-аналитики, форензик-специалисты, сисадмины, юристы и PR. Каждая роль имеет определённые обязанности, полномочия и SLA. Без распределения ролей до инцидента реагирование превращается в хаос.1 шагов
4.
Подготовка инструментария jump bagJump bag — готовый набор аппаратных и программных инструментов для выезда на инцидент. Включает write-blockers, загрузочные USB, forensic-дистрибутивы, кабели и документацию. Правильно собранный jump bag сокращает время начала расследования с часов до минут.1 шагов
5.
Юридические аспекты и chain of custodyChain of custody — непрерывная документированная цепочка владения доказательствами от момента сбора до суда. Нарушение chain of custody приводит к исключению доказательств. Форензик-специалист должен знать правовые основы работы с цифровыми доказательствами.1 шагов
M2
Обнаружение и анализ
5 карт · 5 шагов · тест 14 вопросов
Triage, классификация, сбор IoC — первые часы инцидента определяют всё. Учимся действовать быстро и точно.
1.
Классификация инцидентов по типу и severityПравильная классификация инцидента по типу (malware, unauthorized access, data breach) и severity (SEV-1 — SEV-4) определяет скорость реагирования, состав команды и объём ресурсов. Без классификации все инциденты кажутся одинаково срочными.1 шагов
2.
Первичный triage и сбор данныхTriage — быстрая первичная оценка инцидента для определения scope и приоритетов. Включает сбор volatile data, анализ алертов, идентификацию затронутых систем. Правильный triage в первые 30 минут определяет успех всего расследования.1 шагов
3.
Анализ индикаторов компрометацииIoC (Indicators of Compromise) — артефакты, указывающие на компрометацию: хеши файлов, IP-адреса C2, домены, ключи реестра, YARA-сигнатуры. Эффективный анализ IoC включает сбор, валидацию через threat intelligence, обогащение контекстом и распространение по инфраструктуре.1 шагов
4.
M3
Containment и Recovery
5 карт · 5 шагов · тест 15 вопросов
Остановить распространение, вычистить угрозу, восстановить системы — и сделать выводы, чтобы это не повторилось.
1.
Стратегии сдерживания short-term и long-termContainment делится на short-term (немедленная изоляция угрозы) и long-term (устойчивое ограничение при сохранении бизнес-операций). Short-term — отключение от сети, блокировка IP. Long-term — сегментация, усиление мониторинга, временные правила firewall.1 шагов
2.
Изоляция заражённых хостовИзоляция хостов — ключевая техника containment. Включает EDR-изоляцию (сохраняет управление), сетевую изоляцию (VLAN/ACL), физическое отключение. Выбор метода зависит от ситуации. Важно: не выключайте хост — потеряете volatile data.1 шагов
3.
Eradication — удаление угрозыEradication — полное удаление всех артефактов атакующего из инфраструктуры: вредоносных файлов, persistence-механизмов, скомпрометированных учёток, backdoor. Неполная эрадикация — главная причина повторных инцидентов. Требуется систематический подход по чек-листу.1 шагов
4.
T2
Цифровая форензика
Диски, память, сетевой трафик — три кита цифровых улик. Ты научишься извлекать доказательства из каждого источника профессиональными инструментами.
M4
Disk Forensics
5 карт · 5 шагов · тест 13 вопросов
Фреймворки, планы, роли, юридические тонкости — фундамент, без которого расследование превращается в хаос.
1.
Принципы цифровой форензики и доказательная базаЦифровая форензика — научная дисциплина извлечения и анализа данных с цифровых носителей для судебных целей. Основные принципы: минимизация изменений, документирование каждого действия, работа с копиями, воспроизводимость результатов. Нарушение принципов делает доказательства недопустимыми.1 шагов
2.
Создание и верификация образов дисковForensic-образ — побитовая копия носителя данных, создаваемая через write-blocker. Основные форматы: RAW (dd), E01 (EnCase), AFF4. Верификация через SHA-256 гарантирует идентичность копии оригиналу. FTK Imager и dc3dd — стандартные инструменты.1 шагов
T3
Расследование и отчётность
Собрать улики — половина дела. Вторая половина — восстановить полную картину атаки и оформить её так, чтобы приняли в суде.
M7
Windows Artifacts
5 карт · 5 шагов · тест 14 вопросов
Фреймворки, планы, роли, юридические тонкости — фундамент, без которого расследование превращается в хаос.
1.
Реестр Windows ключевые артефактыРеестр Windows — иерархическая база данных системных настроек, хранящая критичные forensic-артефакты: persistence, user activity, USB history, network connections, installed software. Основные hives: SAM, SYSTEM, SOFTWARE, NTUSER.DAT. Инструменты: Registry Explorer, RegRipper.1 шагов
2.
Prefetch Amcache и ShimCachePrefetch, Amcache и ShimCache — три ключевых артефакта Windows, доказывающих запуск программ. Prefetch хранит имя, путь, timestamps и до 8 последних запусков. Amcache — SHA1 хеш и metadata установленных программ. ShimCache — evidence of execution с timestamps.1 шагов
Определение масштаба инцидента
Scoping — определение полного масштаба компрометации: какие системы затронуты, какие данные скомпрометированы, как долго атакующий внутри. Неполный scoping приводит к неполному containment и повторному инциденту. Используются EDR telemetry, логи AD, сетевые данные.
1 шагов
5.
Документирование и хронология событий — практикумДокументирование инцидента в реальном времени и построение хронологии (timeline) — основа расследования и судебного процесса. Практикум охватывает ведение IR journal, построение timeline из разных источников и подготовку отчёта об инциденте.1 шагов
Восстановление систем и данных
Recovery — поэтапное восстановление систем после инцидента: от критичных бизнес-систем к менее важным. Включает восстановление из бэкапов, переустановку с golden image, hardening и усиленный мониторинг. Слишком быстрое восстановление без верификации приводит к повторному инциденту.
1 шагов
5.
Post-incident review и lessons learned — практикумPost-incident review (PIR) — структурированный разбор инцидента для извлечения уроков и улучшения процессов. Проводится в течение 72 часов после закрытия, включает blameless culture, root cause analysis и конкретные action items. Без PIR организация обречена повторять ошибки.1 шагов
3.
Файловые системы NTFS ext4 APFSПонимание файловых систем критично для форензики: NTFS хранит $MFT, ADS и журнал USN; ext4 использует inodes и журнал ext4; APFS применяет CoW и снапшоты. Каждая FS оставляет уникальные артефакты, используемые при расследовании.1 шагов
4.
Восстановление удалённых файловУдалённые файлы не исчезают — файловая система лишь помечает их пространство как свободное. Восстановление возможно через анализ $MFT (NTFS), inode (ext4), file carving (по сигнатурам). На SSD с TRIM восстановление значительно затруднено.1 шагов
5.
Анализ образа диска в Autopsy — практикумAutopsy — бесплатная open-source платформа для disk forensics. Практикум охватывает создание кейса, импорт образа, запуск модулей анализа, поиск артефактов (browser history, email, deleted files), построение timeline и генерацию отчёта.1 шагов
M5
Memory Forensics
5 карт · 5 шагов · тест 13 вопросов
Triage, классификация, сбор IoC — первые часы инцидента определяют всё. Учимся действовать быстро и точно.
1.
Зачем анализировать оперативную памятьОперативная память содержит данные, недоступные на диске: расшифрованные пароли, ключи шифрования, fileless malware, сетевые подключения, инжектированный код. Memory forensics — единственный способ обнаружить fileless-атаки и извлечь volatile-артефакты.1 шагов
2.
Снятие дампа памяти WinPmem LiMEСнятие дампа памяти — первый шаг memory forensics. WinPmem (Windows) и LiME (Linux) — основные инструменты acquisition. Процесс должен быть быстрым, минимально инвазивным и задокументированным. Дамп верифицируется хеш-суммой.1 шагов
3.
Volatility 3 основы работыVolatility 3 — ведущий open-source framework для memory forensics. Поддерживает Windows, Linux, macOS. Основные плагины: pslist (процессы), netscan (сетевые подключения), cmdline (командные строки), malfind (injected code). Работает с RAW, LiME, E01 дампами.1 шагов
4.
Поиск вредоносных процессов и инъекцийВредоносные процессы маскируются под легитимные через process injection, hollowing и DLL hijacking. Обнаружение основано на анализе parent-child отношений, путей исполнения, memory permissions и сравнении с baseline нормальных процессов Windows.1 шагов
5.
Извлечение артефактов из памяти — практикумПрактикум по извлечению forensic-артефактов из дампа памяти: registry hives, event logs, browser data, clipboard, credentials, encryption keys. Комбинирование результатов memory и disk forensics для создания полной картины инцидента.1 шагов
M6
Network Forensics
5 карт · 5 шагов · тест 13 вопросов
Остановить распространение, вычистить угрозу, восстановить системы — и сделать выводы, чтобы это не повторилось.
1.
Захват и сохранение сетевых данныхNetwork forensics начинается с захвата трафика. PCAP (tcpdump, Wireshark) сохраняет полные пакеты, NetFlow — метаданные соединений. Правильная точка захвата (SPAN port, TAP, endpoint) определяет полноту данных. Хранение PCAP требует огромного пространства.1 шагов
2.
Анализ PCAP реконструкция сессийWireshark и tshark — основные инструменты анализа PCAP. Реконструкция TCP-сессий позволяет восстановить переданные файлы, команды и данные. Follow TCP Stream, Export Objects и фильтры — ключевые функции для forensic-анализа.1 шагов
3.
Выявление C2-коммуникацийC2 (Command and Control) — канал связи атакующего с malware. Обнаружение через beaconing patterns, JA3 fingerprints, DNS anomalies и certificate analysis. RITA автоматизирует beaconing detection. Современные C2 используют HTTPS на порту 443.1 шагов
4.
DNS-аналитика и обнаружение туннелейDNS tunneling позволяет атакующим передавать данные и команды C2 через DNS-протокол, обходя firewall. Обнаружение через анализ длины запросов, энтропии, частоты, объёма TXT-записей. Инструменты: iodine, dnscat2 (атака), freq.py, Zeek (защита).1 шагов
5.
Расследование сетевой атаки — практикумКомплексный практикум network forensics: от захвата трафика через анализ PCAP в Wireshark к обнаружению C2, извлечению артефактов и написанию отчёта. Сценарий: APT-атака с phishing, C2 beacon, lateral movement и data exfiltration.1 шагов
3.
Event Logs Security System PowerShellWindows Event Logs — основной источник данных о безопасности: Security log (аутентификация, доступ), System log (службы, драйверы), PowerShell log (выполненные скрипты). Ключевые Event ID: 4624/4625 (logon), 4688 (process creation), 7045 (new service), 4104 (ScriptBlock).1 шагов
4.
Browser Artifacts и Email ForensicsБраузеры хранят историю, downloads, cookies, passwords, cache и form data в SQLite-базах. Email forensics включает анализ PST/OST (Outlook), MBOX (Thunderbird) и email headers для tracing. Browser artifacts часто ключевые при phishing и insider threat расследованиях.1 шагов
5.
Сбор и анализ Windows-артефактов — практикумКомплексный практикум: сбор всех Windows-артефактов через KAPE, парсинг инструментами Eric Zimmerman, корреляция данных из registry, event logs, prefetch, amcache, browser и email в единый timeline расследования.1 шагов
M8
Timeline Reconstruction
5 карт · 5 шагов · тест 13 вопросов
Triage, классификация, сбор IoC — первые часы инцидента определяют всё. Учимся действовать быстро и точно.
1.
Super Timeline концепция и инструментыSuper Timeline объединяет timestamps из всех источников (файловая система, registry, event logs, browser, prefetch) в единую хронологию. Plaso/log2timeline — основной инструмент создания. Super Timeline может содержать миллионы записей, поэтому критично уметь фильтровать.1 шагов
2.
Plaso и log2timeline построение таймлайнаPlaso/log2timeline — open-source framework для автоматического создания Super Timeline из 100+ типов артефактов. Workflow: log2timeline (extraction) → psort (filtering) → CSV/Timesketch (analysis). Оптимизация через выбор парсеров и KAPE output.1 шагов
3.
Корреляция событий из разных источниковКорреляция — объединение артефактов из disk, memory, network и logs через pivot points (IP, filename, timestamp, username). Cross-source validation подтверждает находки из 2+ источников, превращая фрагменты в связную историю инцидента.1 шагов
4.
Визуализация атаки на временной шкалеВизуализация timeline делает данные понятными для нетехнической аудитории. Три формата: horizontal timeline (executive), swimlane (technical), ATT&CK flow (threat intel). Инструменты: Timesketch, draw.io, Python matplotlib, ATT&CK Navigator.1 шагов
5.
Реконструкция инцидента — практикумФинальный практикум: полная реконструкция APT-инцидента объединяя disk, memory, network forensics и Windows artifacts. Super Timeline, ATT&CK mapping, attack narrative и полный forensic report.1 шагов
M9
Malware Triage и отчёты
5 карт · 5 шагов · тест 14 вопросов
Остановить распространение, вычистить угрозу, восстановить системы — и сделать выводы, чтобы это не повторилось.
1.
Быстрый triage подозрительных файловMalware triage — быстрая оценка подозрительного файла без глубокого reverse engineering. Включает: file type identification, hash lookup в VirusTotal, strings analysis, metadata extraction. Цель — за 10-15 минут определить: malicious или benign.1 шагов
2.
Статический анализ строки хеши импортыСтатический анализ — исследование malware без запуска. Включает: PE structure analysis, import table, section analysis, packer detection, YARA matching. Инструменты: pefile (Python), PEStudio, Detect-It-Easy, YARA. Позволяет определить capabilities malware без риска заражения.1 шагов
3.
Песочницы ANY.RUN Joe SandboxSandbox (песочница) — изолированная среда для безопасного запуска malware. ANY.RUN (интерактивная), Joe Sandbox (автоматическая), Hybrid Analysis (бесплатная) — основные платформы. Sandbox показывает поведение: сетевые подключения, файловые операции, registry changes, process tree.1 шагов
4.
Написание форензик-отчётаForensic report — итоговый документ расследования, который должен быть точным, полным, объективным и понятным. Включает executive summary, methodology, findings, timeline, IoC, recommendations. Отчёт может быть использован в суде — каждое утверждение должно быть подтверждено доказательствами.1 шагов
5.
Подготовка отчёта для руководства и суда — практикумФинальный практикум курса: подготовка отчётов для двух аудиторий — executive management и судебное разбирательство. Executive report фокусируется на бизнес-импакте и решениях. Судебный отчёт — на admissibility, chain of custody и объективности. Expert witness testimony basics.1 шагов
