این دوره آموزشی در 10 جلسه 4 ساعته برگزار می گردد. هدف از برگزاری این دوره آموزشی تربیت محققین جرم یابی به منظور جمع آوری و تحلیل شواهد از حافظه فرار کامپیوتر می باشد. سرفصل این دوره آموزشی به شرح ذیل می باشد.
- مبانی جمع آوری و تحلیل داده های حافظه
- اهمیت جرم یابی حافظه و انواع شواهد حافظه
- روش انجام جرم یابی حافظه
- ایستگاه کاری windows 8.1 و Ubuntu SIFT
- ابزار Volatility
- مروری بر معماری های مختلف
- جمع آوری فیزیکی داده ها
- تحلیل حافظه و اکتشاف پردازشها
- استخراج داده های شبکه، کلید های رمزنگاری و اطلاعات فایل سیستم
- تحلیل page file ها
- کشف ساختار پردازشها
- پیمایش و بررسی لیستها
- کشف رابطه پردازشها
- کشف کتابخانه های DLL
- کشف Kernel Objects
- کشف حافظه های تخصیص یافته
- بررسی کاربران و دیگر داده ها در حافظه
- بررسی اتصالات شبکه
- بررسی ساختار VAD
- کشف کد های تزریق شده
- تحلیل داده های رجیستری
- کشف اطلاعات کاربری
- ساختارهای داخلی حافظه
- جداول interrupts، Exception Handling و Hooking
- بررسی جداول system service descriptor (SSDT)
- بررسی درایورها
- بررسی دستکاری اشیاء هسته
- بررسی ماژول های رمزنگاری و دیگر ماژولها
- بررسی فایلهای Hibernation
- بررسی فایلهای Crash dump
- تحلیل حافظه
- شناسایی و بررسی malware و rootkit ها
- بررسی کد های تزریق شده
- بازسازی فعالیت های کاربر
- تحلیل فایل hibernation
- تحلیل فایل crash dump