Week 数字取证导论与法律框架
📖 核心知识点:数字取证(Digital Forensics)的定义、目标和应用场景。取证调查的法律框架——澳大利亚证据法、电子证据的可采性(admissibility)标准。证据链(Chain of Custody)的建立和维护。取证流程概述:识别(Identification)→保全(Preservation)→分析(Analysis)→报告(Reporting)。COMP6845扩展活动和额外的高级取证workshop介绍。 ⏰ 本周节奏:难度 ⭐⭐⭐ | 预计投入 12h 🎯 考试关联:取证流程和法律概念是考试的基础必考内容 🧪 Tutorial/Lab:取证工具环境搭建——安装配置Autopsy、FTK Imager、Volatility 📌 作业关联:取证报告写作规范学习——了解法庭级别(court-ready)报告的格式要求 ⚠️ 易错点:取证过程中修改了原始证据导致证据链断裂;不了解write blocker的必要性
Week 磁盘取证与文件系统分析
📖 核心知识点:磁盘成像(disk imaging)技术——dd、dc3dd、FTK Imager的使用和区别。文件系统结构——NTFS、ext4、FAT32的取证分析要点。MFT(Master File Table)分析——NTFS中文件元数据的提取。已删除文件恢复——文件系统层面的数据恢复原理。时间戳分析(timestamp analysis)——MACB时间戳的取证意义。 ⏰ 本周节奏:难度 ⭐⭐⭐⭐ | 预计投入 15h 🎯 考试关联:文件系统分析和数据恢复是取证课程的核心技能 🧪 Tutorial/Lab:使用Autopsy分析磁盘镜像,恢复已删除文件并提取时间线 📌 作业关联:Lab Exercise 1——磁盘取证分析实践 ⚠️ 易错点:磁盘成像时未验证hash值导致完整性无法证明;混淆逻辑删除和物理覆写
Week 内存取证与进程分析
📖 核心知识点:内存取证(Memory Forensics)的重要性——获取运行时数据(加密密钥、网络连接、进程信息)。内存获取技术——Volatility的memory dump分析框架。进程分析——识别恶意进程、DLL注入检测、API hook检测。网络连接重建——从内存中提取活跃的网络连接信息。COMP6845扩展:高级内存分析技术和自定义Volatility插件开发。 ⏰ 本周节奏:难度 ⭐⭐⭐⭐⭐ | 预计投入 18h 🎯 考试关联:内存取证工具使用和分析方法是考试的重要考点 🧪 Tutorial/Lab:使用Volatility 3分析Windows内存dump,提取进程列表、网络连接和注册表数据 📌 作业关联:Lab Exercise 2——内存取证分析实践 ⚠️ 易错点:使用错误的Volatility profile导致分析失败;忽略隐藏进程(hidden processes)的检测
Week 网络取证与流量分析
📖 核心知识点:网络取证方法论——网络流量捕获、存储和分析。PCAP文件分析——使用Wireshark进行深度包检测(DPI)。网络日志分析——防火墙日志、代理日志、DNS日志的取证价值。网络设备取证——路由器、交换机的配置和日志提取。会话重建——从网络流量中提取文件、邮件和通信内容。 ⏰ 本周节奏:难度 ⭐⭐⭐⭐ | 预计投入 15h 🎯 考试关联:网络流量分析和日志解读是取证考试的常见实操题 🧪 Tutorial/Lab:分析PCAP文件,重建攻击时间线和数据泄露路径 📌 作业关联:Lab Exercise 3——网络取证分析实践 ⚠️ 易错点:只关注TCP流而忽略DNS、ICMP等协议中的隐蔽通道(covert channels)
Week 移动设备取证
📖 核心知识点:移动设备取证的特殊挑战——加密、app沙箱、cloud同步。iOS取证——文件系统结构、iTunes备份分析、keychain提取。Android取证——ADB提取、SQLite数据库分析、app数据解析。移动取证工具——Cellebrite UFED概念、开源替代方案(libimobiledevice)。COMP6845扩展:iOS和Android的高级取证技术深入。 ⏰ 本周节奏:难度 ⭐⭐⭐⭐⭐ | 预计投入 18h 🎯 考试关联:移动设备取证方法和工具是考试的重要知识点 🧪 Tutorial/Lab:分析Android设备的取证镜像,提取通讯录、短信、app数据 📌 作业关联:Assignment 1——综合取证分析案例(通常在此时发布) ⚠️ 易错点:忽略cloud数据的取证价值(iCloud、Google Drive同步内容);设备加密未正确处理导致无法访问数据
Week 日志分析与SIEM系统
📖 核心知识点:Splunk日志分析平台——SPL(Search Processing Language)查询语法。Windows事件日志取证——Event ID的取证意义(登录事件、进程创建、服务安装等)。Linux系统日志分析——syslog、auth.log、audit.log的关键取证信息。SIEM(Security Information and Event Management)的原理和应用。COMP6845扩展:高级Splunk分析和自定义dashboard创建。 ⏰ 本周节奏:难度 ⭐⭐⭐⭐ | 预计投入 12h(Flexibility Week) 🎯 考试关联:日志分析和Splunk查询是考试的实操型考点 🧪 Tutorial/Lab:使用Splunk分析安全事件日志,构建攻击时间线 📌 作业关联:Assignment 1进行中——需要日志分析技能 ⚠️ 易错点:SPL语法错误导致查询结果不正确;不了解关键Windows Event ID的含义(如4624/4625登录事件)
Week 反取证技术与隐写术
📖 核心知识点:反取证(Anti-forensics)技术分类——数据销毁、数据隐藏、痕迹清除、攻击取证工具。隐写术(Steganography)——图片隐写(LSB)、音频隐写、网络隐写的检测方法。数据擦除工具和安全删除——Secure Erase、TRIM对SSD取证的影响。加密对取证的挑战——全盘加密(FDE)、文件级加密的处理策略。COMP6845扩展:高级反取证分析和对抗技术。 ⏰ 本周节奏:难度 ⭐⭐⭐⭐⭐ | 预计投入 18h 🎯 考试关联:反取证技术的识别和应对是高级取证考题的常见主题 🧪 Tutorial/Lab:使用stegsolve、binwalk等工具检测和提取隐写内容 📌 作业关联:Assignment 1提交 + Assignment 2可能发布 ⚠️ 易错点:认为数据删除就是不可恢复的(需要区分逻辑删除vs安全擦除);隐写检测只用单一方法
Week 事件响应与取证调查流程
📖 核心知识点:事件响应(Incident Response)流程——NIST SP 800-61框架。IR团队的角色和职责——取证分析师在IR中的定位。证据收集优先级——volatility order(从最易挥发到最持久的证据)。实时取证(live forensics)vs死后取证(post-mortem forensics)的区别。取证时间线构建——Super Timeline的创建和分析。 ⏰ 本周节奏:难度 ⭐⭐⭐⭐ | 预计投入 15h 🎯 考试关联:事件响应流程和证据收集优先级是考试的高频考点 🧪 Tutorial/Lab:模拟事件响应场景——从告警到取证分析的完整流程演练 📌 作业关联:Assignment 2进行中(如已发布) ⚠️ 易错点:实时取证时修改了系统状态而不自知;证据收集顺序错误(应先收集内存再收集磁盘)
Week 取证报告撰写与专家证人
📖 核心知识点:法庭级取证报告(court-ready forensic report)的结构和要求。证据呈现技巧——如何向非技术人员(法官、陪审团)解释技术发现。专家证人(expert witness)的角色、资格和法庭行为规范。报告的客观性要求——避免偏见、区分事实和推断。COMP6845扩展:高级报告撰写和模拟法庭演练。 ⏰ 本周节奏:难度 ⭐⭐⭐⭐ | 预计投入 15h 🎯 考试关联:取证报告的核心要素和专家证人角色是考试内容 🧪 Tutorial/Lab:撰写模拟取证报告,互相peer review评估报告质量 📌 作业关联:Final Assignment——完整的取证调查报告 ⚠️ 易错点:报告中使用过多技术术语使非技术读者无法理解;混淆事实发现和个人推断
Week 高级取证话题与课程总复习
📖 核心知识点:云取证(Cloud Forensics)——AWS/Azure/GCP环境下的取证挑战和方法。IoT设备取证——智能家居、车载系统的取证特殊性。加密货币和区块链取证——比特币交易追踪、wallet分析。取证领域的职业发展——SANS GIAC认证、EnCase认证路径。课程总复习——从证据获取到法庭呈现的完整知识体系。 ⏰ 本周节奏:难度 ⭐⭐⭐⭐ | 预计投入 18h 🎯 考试关联:期末考试覆盖全学期内容,重点是取证方法论的综合应用 🧪 Tutorial/Lab:综合取证挑战——完整的模拟案例从获取到报告 📌 作业关联:Final Assignment提交——完整的取证调查报告和发现 ⚠️ 易错点:复习时只记工具操作而忽略取证原理和法律要求;final report的证据链描述不完整
