Informatyka śledcza - strona przedmiotu - ISL (EiTI)
Niniejsza strona przeznaczona jest dla studentów Wydziału Elektroniki i Technik Informacyjnych PW uczęszczających na przedmiot ISL - Informatyka śledcza prowadzony w semestrze letnim 2011/2012 przez Instytut Systemów Elektronicznych PW.
Program przedmiotu i organizacja zajęć [pdf]
Digital investigation (czyli cyfrowe śledztwo) to proces znajdowania odpowiedzi na pytania dotyczące cyfrowych stanów i zdarzeń.
Digital forensic investigation to specjalny przypadek cyfrowego śledztwa, w którym zastosowane procedury i techniki pozwalają na wykorzystanie rezultatów śledztwa w postępowaniu sądowym [według Briana Carriera].
Słowa kluczowe: digital forensics, computer forensics, network forensics, cyberforensics, digital evidence, computer evidence, computer crime, incident response, Linux forensics, Windows forensics, computer forensics tools, computer forensics procedures, disk forensics, media forensics, intrusion forensics, intrusion detection systems.
Ogłoszenia
11 maja 2012 r.
Na podstronie materiałów dydaktycznych zostały opublikowane instrukcja oraz protokół do czwartego laboratorium, które będzie powięcone analizie Windows.
7 maja 2012 r.
W dniu jutrzejszym w sali 117 o godzinie 11:00
rozpocznie się pierwsze z zaplanowanych kolokwiów z informatyki śledczej.
Zgodnie z zapowiedziami, kolokwium będzie miało formę testu trwającego
godzinę zegarową i obejmie materiał wykładowy od wstępu do systemu
plików FAT włącznie.
Każdy z Państwa dostanie formularz z dziesięcioma pytaniami wycenionymi
na dwa lub trzy punkty i wymagającymi przemyślanych,
zwięzłych odpowiedzi (w odróżnieniu od wejściówek nie będzie
to test z odpowiedziami do wyboru).
W międzyczasie zachęcam do odwiedzenia strony
Test Preparation Tips
i wzięcia sobie do serca zamieszczonych tam ogólnych wskazówek,
a szczegolnie tej o nie uczeniu się przez całą poprzedzającą noc.
20 kwietnia 2012 r.
Na podstronie materiałów dydaktycznych pojawił się ostatni wykład z informatyki śledczej, zatytułowany "I co dalej?".
13 kwietnia 2012 r. - UWAGA!
Na podstronie materiałów dydaktycznych zostały opublikowane instrukcja, protokół i kryteria oceny trzeciego laboratorium. Wszystkich przygotowujących się do niego (a szczególnie pierwszą grupę) bardzo proszę o samodzielne zapoznanie się z możliwościami, które dają WinHex oraz ProDiscover Basic.
6 kwietnia 2012 r.
Na podstronie materiałów dydaktycznych opublikowane zostały kolejne slajdy wykładowe. Wszystkich zainteresowanych zachęcam do zapoznania się z materiałami dostępnymi na stronie konkursu The Honeynet Project's Forensic Challenge. Jedna z propozycji tematów laboratoryjnych to odtworzenie śledztwa przeprowadzonego przez uczestników tego konkursu.
28 marca 2012 r. - UWAGA!
Na podstronie materiałów dydaktycznych zostały opublikowane instrukcja, protokół i kryteria oceny drugiego laboratorium. Wszystkich przygotowujących się do niego (a szczególnie pierwszą grupę) bardzo proszę o samodzielne zapoznanie się z możliwościami, które daje Autopsy Forensic Browser (podczas laboratorium nie ma czasu na poznawanie jego 'gałkologii'). Podstawowe funkcje warto przećwiczyć na przykładach ze strony Digital Forensics Tool Testing Images. Dodatkowo w dniu jutrzejszym udostępnię Państwu linki do obrazów analizowanych podczas pierwszego laboratorium (nowe narzędzie łatwiej poznawać na znanym materiale).
28 marca 2012 r.
Na podstronie materiałów dydaktycznych opublikowany został materiał wykładowy dot. systemu plików NTFS - łącznie z częścią jeszcze nie omówioną, a poświęconą katalogom i indeksom. Zachęcam do samodzielnego zapoznania się z tą kontynuacją, ponieważ na wykładzie nie będę mogła jej poświęcić więcej niż 10 minut. Mamy bowiem spore opóźnienie - nie został jeszcze przedstawiony system plików ExtX, a musi wystarczyć czasu na pozostałe obiecane tematy.
26 marca 2012 r.
Wszystkim zainteresowanym przypominam, że na laboratoriach obowiązuje dystrybucja BackTrack 4 R2 wypalona na płycie DVD. Należy też posiadać zapasowy nośnik z w/w dystrybucją (do wyboru pendrive lub druga płyta).
23 marca 2012 r.
Na podstronie materiałów dydaktycznych zostały opublikowane dwa formularze CoC (Chain of Custody) - odpowiednie dla dwóch grup przystępujących do laboratorium w najbliższy wtorek.
19 marca 2012 r.
W dniu jutrzejszym, w naszej sali wykładowej, w godzinach 11:15-12:00 odbędzie się konwersatorium, w czasie którego będę pokazywała przykłady złej i dobrej dokumentacji laboratoryjnej, odpowiadała na związane z nią pytania i wyjaśniała wątpliwości. Uczestnictwo nie jest obowiązkowe, niemniej jednak wszystkich zainteresowanych zapraszam!
14 marca 2012 r.
Na podstronie
materiałów dydaktycznych zostały opublikowane slajdy z wczorajszego wykładu
oraz instrukcja, protokół i kryteria oceny pierwszego laboratorium.
Formularze CoC (Chain of Custody) - różne dla każdej z grup -
będą udostępniane sukcesywnie przed odpowiednimi terminami laboratoryjnymi.
Wszystkich przygotowujących się do laboratorium zachęcam do samodzielnej eksploracji
materiałów dostępnych na stronie
Digital Forensics Tool Testing Images.
7 marca 2012 r.
Na podstronie
materiałów dydaktycznych zostały opublikowane slajdy z wczorajszego wykładu.
Opublikowany wcześniej harmonogram realizacji wykładów pozostaje bez zmian,
dopóki uzgodnienia poczynione w dniu wczorajszym nie zostaną zatwierdzone przez
nasze władze dydaktyczne.
5 marca 2012 r.
Jest potwierdzenie rezerwacji sali 117 na potrzeby naszego wykładu we wszystkich tygodniach semestru. Zapraszam zatem na jutrzejszy wykład (zgodnie z opublikowanym wcześniej harmonogramem).
3 marca 2012 r.
Mamy już nowe wydanie dystrybucji BackTrack 5 R2. Zachęcam do jej pobrania, zainstalowania na własnym komputerze, testowania i dzielenia się uwagami na jej temat. Jednak nie będziemy ryzykować jej użycia podczas naszych zajęć laboratoryjnych. Te będą bazowały na dystrybucji BackTrack 4 R2 (better safe than sorry).
29 lutego 2012 r.
Na podstronie
materiałów dydaktycznych zostały opublikowane slajdy z wczorajszego wykładu.
Pojawił się również link do lokalnej (umieszczonej na serwerze ISE) kopii
obrazu dystrybucji BackTrack 4 R2, na której będą bazowały laboratoria.
Bardzo proszę o jej pobranie, sprawdzenie poprawności skrótu MD5,
wypalenie płyty oraz przygotowanie nośnika zapasowego (pendrive lub druga płyta).
Wypalone płyty i/lub pendrive należy bezwzględnie przetestować na swoim komputerze
oraz sprawdzić, czy się uruchamiają również na innych stacjach roboczych.
25 lutego 2012 r.
Poniższa tabela zawiera terminy wykładów i kolokwiów (proponowane - do negocjacji) oraz laboratoriów.
| Wykład | Pierwsza grupa | Druga grupa | Trzecia grupa | |
| Data | wtorki 10:15-12:00 zmienne | wtorki parzyste 16:15-19:00 od 20 marca | wtorki nieparzyste 16:15-19:00 od 27 marca | wtorki nieparzyste 12:15-15:00 od 27 marca |
| 20 II | wprowadzenie (1 godz.), sprawy organizacyjne (1 godz.) | |||
| 28 II | zasady i standardy, dyski i partycje (2 godz.) | |||
| 6 III | dyski i partycje cd., woluminy wielodyskowe, procesy uruchamiania (2 godz.) | |||
| 13 III | systemy plików, narzędzia ISL (2 godz.) | |||
| 20 III | (konwersatorium - przygotowanie do pierwszego laboratorium) | 1. tutorial | ||
| 27 III | systemy plików cd., linia czasu (2 godz.) | 1. tutorial | 1. tutorial | |
| 3 IV | wstęp do analizy Windows, analiza powłamaniowa Linux/Windows (2 godz.) | 2. Autopsy, FAT, file carving, slack space | ||
| 17 IV | badanie systemów czynnych, techniki eDiscovery (2 godz.) | 3. Autopsy, WinHex, ProDiscover, NTFS, timelines | ||
| 24 IV | 2. Autopsy, FAT, file carving, slack space | 2. Autopsy, FAT, file carving, slack space | ||
| 8 V | kolokwium (1 godz.) - materiał wykładowy do (z uwzgl.) FAT | 3. Autopsy, WinHex, ProDiscover, NTFS, timelines | 3. Autopsy, WinHex, ProDiscover, NTFS, timelines | |
| 15 V | 4. analiza powłamaniowa Linux (Autopsy) lub analiza Windows (WinHex, ProDiscover) | |||
| 22 V | 4. analiza powłamaniowa Linux (Autopsy) lub analiza Windows (WinHex, ProDiscover) | 4. analiza powłamaniowa Linux (Autopsy) lub analiza Windows (WinHex, ProDiscover) | ||
| 29 V | 5. analiza Windows (WinHex, ProDiscover) lub śledztwo w sieci | |||
| 5 VI | 5. analiza Windows (WinHex, ProDiscover) lub śledztwo w sieci | 5. analiza Windows (WinHex, ProDiscover) lub śledztwo w sieci | ||
| 12 VI | kolokwium (1 godz.) |
Podział na grupy laboratoryjne został zaktualizowany zgodnie ze stanem zapisów.
22 lutego 2012 r. (17:45)
Podział na grupy laboratoryjne został zaktualizowany po wypełnieniu się listy zapisanych na przedmiot (tj wyczerpaniu się limitu miejsc).
22 lutego 2012 r.
Na podstronie materiałów dydaktycznych zostały opublikowane slajdy z pierwszego wykładu oraz proponowany podział na grupy laboratoryjne. Bardzo proszę o zgłaszanie jego niezgodności z wynikami ankiety przeprowadzonej na wykładzie oraz innych ważnych przyczyn, dla których należałoby w nim wprowadzić zmiany.
21 lutego 2012 r.
Wynik analizy ankiety przeprowadzonej w dniu dzisiejszym jest jednoznaczny: jedyny możliwy termin trzeciej grupy laboratoryjnej to wtorek 12:15-15:00 (prowadzący: mgr inż. Krzysztof Gołofit). Szczegółowy podział na grupy zostanie opublikowany w dniu jutrzejszym (podobnie slajdy z dzisiejszego wykładu).
15 lutego 2012 r.
W uwagi na niespodzianie duże zainteresowanie informatyką śledczą wyrażone podczas próbnych zapisów (dziękuję!) władze dydaktyczne zdecydowały się na podwyższenie limitu (liczby miejsc). Niestety, powoduje to znaczne komplikacje natury organizacyjnej, ponieważ laboratorium (sala 324) nie jest w stanie pomieścić więcej, niż 12 studentów w jednym terminie, w planie zajęć przewidziano jedynie termin wtorkowy (16:15-19:00 naprzemiennie co drugi tydzień), a zajęcia laboratoryjne muszą być poprzedzone odpowiednimi wykładami i nie mogą się rozpocząć wcześniej, niż w piątym tygodniu semestru.
W dniu dzisiejszym (stan na godz. 15:30) ERES podaje,
że liczba miejsc wynosi 36, jednak jest to zbyt optymistyczna prognoza
i przed rozpoczęciem właściwych zapisów limit ten zostanie obniżony
do 30 miejsc - i to przy założeniu, że wśród zapisanych znajdzie się
6 osób, które będą mogły utworzyć trzecią grupę laboratoryjną
w jednym z czterech możliwych alternatywnych terminów, a mianowicie:
* poniedziałek 9:15-12:00,
* wtorek 12:15-15:00 lub 13:15-16:00,
* czwartek 8:15-11:00 lub
* piątek 9:15-12:00.
W związku z tym wszystkich zapisujących się lub zainteresowanych
zapisaniem się na przedmiot bardzo proszę o przybycie
na pierwszy wykład (21 lutego, godz. 10:15). Z konieczności zostanie
on w znacznej części poświęcony sprawom organizacyjnym. M.in. zostanie
przeprowadzona ankieta pozwalająca ustalić termin trzeciej grupy laboratoryjnej.
Nie jest przy tym wykluczone, że w przypadku większej liczby zainteresowanych
powstanie możliwość utworzenia kolejnej grupy (pod warunkiem
uzgodnienia dla niej wspólnego terminu zajęć).
Przypominając, że nieobecni nie mają racji, zapraszam!
24 stycznia 2012 r.
W tym tygodniu odbywaja się próby zapisów na przedmioty obieralne zgłoszone do oferty na semestr 12L. Jednym z nich jest ISL. Przedmiot ten zostanie uruchomiony pod warunkiem, że w rundzie zapisów próbnych wstępne (niezobowiązujące) zainteresowanie nim wyrazi odpowiednia liczba studentów. W przeciwnym przypadku dziekan podejmie decyzję o zamknięciu realizacji. Wybór należy do Was!
18 stycznia 2012 r.
Osoby zainteresowane wglądem w realizacje przedmiotu dla Wydziału MiNI mogą odwiedzić strony Informatyka śledcza - zima 2011 - MiNI oraz Computer Forensics - Summer 2012 - MiNI. Dostęp do materiałów dydaktycznych mają jedynie studenci zapisani na przedmiot.
Ostatnia aktualizacja strony: 2012.05.11
