Aperçu du cours
Doel van de training : Ontwikkelen van vaardigheden om digitale bestanden diepgaand te analyseren, metadata te extraheren en te gebruiken voor forensisch onderzoek. De focus ligt op het identificeren, manipuleren en herstellen van verborgen informatie in verschillende bestandsformaten (documenten, afbeeldingen, databases, logs), met behoud van de integriteit van het bewijsmateriaal.
Prérequis
- Basiskennis van digitale forensische onderzoeken en bestandsbeheer
- Ervaring met Windows- en Linux-besturingssystemen
- Bekendheid met loganalyse en digitale criminalistiek
Objectifs pédagogiques
- Begrijpen van bestandsstructuren en het belang van metadata in digitale forensische opsporing.
- Leren hoe metadata te extraheren en interpreteren uit verschillende bestandstypes (documenten, afbeeldingen, multimedia, logs).
- Identificeren en analyseren van verborgen, beschadigde of gemanipuleerde bestanden.
- Gebruik maken van gespecialiseerde tools om verwijderde of gemanipuleerde bestanden te herstellen en te onderzoeken.
- Strategieën ontwikkelen om metadata te correleren en digitale gebeurtenissen te reconstrueren.
Public ciblé
- Forensische analisten en onderzoekers
- Cybersecurity-professionals en SOC-teams
- Compliance en fraudeonderzoekers
- Opsporingsdiensten en juridische experts in digitale criminaliteit
Programme de formation
-
Introductie tot bestandsstructuren en digitale formaten (1,5 uur)
-
Overzicht van bestandstypen die relevant zijn voor digitaal forensisch onderzoek (afbeeldingen, documenten, PDF’s, databases).
-
Begrijpen van de interne structuur van bestanden: headers, body, footers, magic numbers.
-
Het belang van metadata bij het vaststellen van bewijsmateriaal: typen, opslag en forensisch gebruik.
-
-
Extractie en analyse van metadata uit standaardbestanden (2 uur)
-
Documentmetadata (DOCX, PDF, ODT): auteur, wijzigingsdatum, revisiesporen.
-
Afbeeldingsmetadata (EXIF, XMP, IPTC): GPS-locatie, cameramodel, bewerkingsgeschiedenis.
-
Methoden voor extractie en interpretatie met forensische tools (ExifTool, FOCA).
-
Praktijkoefening : Extractie en analyse van metadata uit Word-documenten en JPEG-afbeeldingen in een casestudy.
-
-
Onderzoek naar verborgen, corrupte en gemanipuleerde bestanden (3,5 uur)
-
Detectie van verborgen of hernoemde bestanden (steganografie, wijziging van bestandsextensies).
-
Technieken om vervalste of gewijzigde documenten te identificeren (hashing, binaire vergelijking).
-
Opsporing van gemanipuleerde metadata en anti-forensische technieken.
-
Casus : Onderzoek van een verdacht PDF-document om frauduleuze wijzigingen te detecteren.
-
-
Methoden voor herstel van verwijderde bestanden (2 uur)
-
Principe van bestandssysteemverwijdering en herstelmethoden (NTFS, FAT, ext4).
-
Hersteltechnieken met gebruik van MFT, USN logs en shadow copies.
-
Gebruik van forensische herstelsoftware (Autopsy, PhotoRec, R-Studio).
-
Praktijkoefening : Herstellen en analyseren van een verwijderd bestand op een geformatteerde schijf.
-
-
Correlatie van metadata voor reconstructie van digitale gebeurtenissen (2,5 uur)
-
Gebruik van metadata om toegang en wijzigingen van bestanden te traceren.
-
Vergelijking met systeemlogs en gebruikersactiviteit.
-
Detectie van tijdsinconsistenties en fraudepatronen.
-
Casus : Reconstructie van een incident met gewijzigde documenten en verborgen bestanden.
-
-
Steganografie en analyse van multimediabestanden (2,5 uur)
-
Technieken om informatie te verbergen in afbeeldingen, audio en video.
-
Detectie en extractie van verborgen data met gespecialiseerde tools (StegExpose, OpenPuff).
-
Real-life toepassingen van steganografie in cybercriminaliteit.
-
Praktijkoefening : Detectie en extractie van een verborgen bericht in een JPEG-afbeelding.
-
-
Forensisch onderzoek van logbestanden en databases (2 uur)
-
Analyse van logbestanden om verdachte wijzigingen op te sporen.
-
Forensisch onderzoek van databases zoals SQLite en MySQL.
-
Correlatie van databasegegevens en bestandslogs.
-
Praktijkoefening : Onderzoek van een SQLite-database om verwijderde records terug te vinden
-
-
Validatie en documentatie van digitaal bewijsmateriaal (2,5 uur)
-
Keten van bewaring en integriteit van digitaal bewijsmateriaal.
-
Toepassing van forensische onderzoeksstandaarden (ISO 27037, ISO 17025).
-
Opstellen van forensische rapporten en juridische voorbereiding van bewijsmateriaal.
-
Casus : Opstellen van een forensisch rapport over een incident met vervalste bestanden.
-
-
Onderzoek naar bestanden uit cloudomgevingen en mobiele apparaten (2,5 uur)
-
Analyse van bestanden en metadata uit cloudservices zoals Google Drive, Dropbox en iCloud.
-
Extractie en onderzoek van bestanden van mobiele apparaten.
-
Detectie van wijzigingen en verwijderingen van bestanden in cloudomgevingen.
-
Eindcasus : Onderzoek van een verdacht bestand uit een cloudaccount.
-
Instructeur
