Цифровая форензика и DFIR — CYBY

FC-07

Реагирование на инциденты и цифровая криминалистика. NIST/SANS IR-фреймворк, Volatility 3, Autopsy, Plaso. От первого triage до forensics-отчёта уровня суда. Требует FC-06.

45 уроков9 модулейПродвинутый3 темы

Начать обучение ← Все курсы

MEMORY HEX DUMP — PID 4892

volatility3 · malfind

PE Header

Imports

C2 IP / Beacon

0x0000

4D5A90000300000004000000

MZ......

0x000C

FFFF0000B800000000000000

........

0x0018

400000000000000000000000

@...........

0x0060

FF15A41040006A00FF159810

[email protected].....

0x00A0

C0A801C21F90000000000000

........

0x00B0

474554202F626561636F6E00

GET /beacon.

⚠ Injected code detected

Volatility 3 · Scanning...

Почему DFIR — самая востребованная специализация

Цифры, которые объясняют всё

76 днейсреднее время между взломом и его обнаружением в корпоративной сети

95%вредоносных программ оставляют восстанавливаемые цифровые артефакты

$120K+годовая зарплата Senior DFIR Analyst / Forensics Investigator в США

30 ТБданных из устройств исследует DFIR-команда при крупном инциденте

После курса вы сможете

Не теория — реальные расследования с настоящими образами дисков и дампами памяти

🚨Проведёшь полный IR-цикл по NIST/SANS: Preparation, Detection, Containment, Recovery

🔬Создашь forensic-образ диска, верифицируешь хеш и исследуешь артефакты NTFS, ext4, APFS в Autopsy

🧠Проанализируешь дамп RAM через Volatility 3: найдёшь инжектированный код, C2-соединения, ключи

🌐Исследуешь PCAP-файлы: выявишь C2-beaconing, DNS-туннелирование и эксфильтрацию данных

🪟Извлечёшь Windows Artifacts: Prefetch, Amcache, ShimCache, реестр, Event Logs

⏱️Построишь Super Timeline атаки с Plaso и Timesketch — от первого артефакта до эксфильтрации

🦠Проведёшь triage вредоноса: статический анализ PE-заголовков и динамический в ANY.RUN

📋Напишешь forensics-отчёт уровня суда: chain of custody, Executive Summary, технические детали

Реальные расследования в курсе

Разбираем громкие инциденты как DFIR-команды — от первых артефактов до полной картины атаки

DFIR кейс2017

NotPetya 2017 — как форензика восстановила картину атаки

NotPetya парализовал Maersk, Merck и сотни компаний. DFIR-команды восстановили полный вектор атаки через артефакты Windows Event Logs, MFT-таблицы и сетевой трафик. Урок о важности логирования.

Урок 8 · Windows Timeline и артефакты

Memory Forensics2021

Emotet — обнаружение через дамп памяти

Emotet маскировался под легитимные процессы и жил только в памяти. Только через Volatility удалось извлечь конфиг C2-серверов, ключи шифрования и список жертв из RAM-дампа заражённой машины.

Урок 22 · Memory Forensics с Volatility

Карьера2023

DFIR-фрилансер — $300/час за экспертное заключение

Senior DFIR специалист с опытом в суде рассказал как выйти на рынок независимой экспертизы: нотариально заверенные отчёты, судебные показания и ставка $300/час за работу эксперта-свидетеля.

Урок 43 · Карьера и монетизация в DFIR

Программа курса

9 модулей · 45 уроков · 3 темы: Реагирование на инциденты, Цифровая форензика, Расследование и отчётность

Куда ведёт этот курс

FC-07 — вход в одну из самых высокооплачиваемых и дефицитных специализаций в кибербезопасности

$7 000 — $18 000 / мес

DFIR Lead / IR Manager

Руководишь командой расследования инцидентов в крупных компаниях или IR-фирмах. Высокий спрос, острая нехватка специалистов.

VolatilityAutopsyIR методологияReporting

Трек:FC-07 → MC-07 → DFIR Lead

$5 000 — $13 000 / мес

Malware Analyst / Reverse Engineer

Анализируешь вредоносное ПО для антивирусных компаний, Threat Intel команд или правительственных структур.

GhidraIDA Prox86 ASMYara

Трек:FC-07 → Malware Analysis → RE

$4 000 — $10 000+ / мес

Судебный эксперт / Expert Witness

Готовишь экспертные заключения для судебных процессов. Работа с правоохранительными органами и корпоративными юристами.

Chain of CustodyCourt ReportsFTKEnCase

Трек:FC-07 → Certification → Expert Witness

Для кого этот курс

🔬

SOC Аналитики

Работаете в SOC и хотите перейти от реагирования на алерты к глубокому расследованию инцидентов с криминалистическими инструментами

⚔️

После FC-05 / FC-06

Знаете атаку и защиту, теперь хотите научиться восстанавливать полную картину произошедшего — артефакты, timeline, Attribution

⚖️

Юридический трек

Интересует судебная экспертиза, работа с правоохранительными органами или подготовка экспертных заключений для судебных процессов

Стань экспертом
цифровой форензики
мирового уровня

48 часов с Volatility, Autopsy, Wireshark и Ghidra. Реальные образы дисков и дампы памяти в защищённой лаборатории.

Начать обучение ← Все курсы

FC-07 — Цифровая форензика и DFIR

Расследование инцидентов

Уроков45

Модулей9

УровеньПродвинутый

Тем3

Volatility 3 и Autopsy

Реальные образы дисков и дампы RAM

3 реальных DFIR-расследования

Карьерный трек после окончания