Hoffmann Advanced Forensic Sessions
Groot verschil met andere forensische cursussen is dat de Sessions worden gegeven door experts met een grote reputatie wereldwijd en dat het aantal deelnemers beperkt is tot maximaal vijfentwintig.
De inhoud van de Advanced Forensic Sessions is gericht op technieken en niet op de tool. Naast het intensieve studieprogramma is er gedurende de week ook ruimte voor ontspanning en onderlinge kennisuitwisseling.
Deelnemers
De Hoffmann Advanced Forensic Sessions zijn ontwikkeld voor ervaren digitaal forensisch onderzoekers, incident response professionals of technische auditors. Er wordt geen onderscheid gemaakt tussen specialisten afkomstig van Law Enforcement of ervaren onderzoekers uit het bedrijfsleven.
Inhoud
De Advanced Forensic Sessions bestaan uit vier sessions:
Session 1 - Image Forensics by instructor/expert Nasir Memon on Monday 22th November 2010.
Memon is hoogleraar Computer and Information Sience aan de Polytechnic University in New York, directeur van het Information Systems and Internet Security Lab van de New York University, mede-operichter van de Digital Assembly en maker van de forensische software Adroit.
|
Course contents Session 1 – Advanced Image Forensics |
|
Recovery of image evidence · Advanced image carving techniques. Smartcarving. (Basic carving knowledge is assumed). |
|
Searching image evidence · Skin tone detection, face detection and face recognition. |
|
Attributing image evidence · Exif information, internet artifacts, camera identification based on image pipeline. |
|
Authenticating image evidence · Copy/move forgeries, statistical detection and image pipeline based authentication |
|
Hands-on |
|
Course material (course reader and software) |
Session 2 – Advanced Mobile Phone and Database Forensics by instructor/expert Hans Henseler on Tuesday 23th November 2010.
Sessie 2 wordt gegeven door de forensisch experts van Fox-IT: Kevin Jonkers, Ivo Pooters en Hans Henseler. Kevin en Ivo hebben hun universitaire studie afgerond met een onderzoek naar data acquisitie op mobiele telefoons, bij Fox-IT voeren zij digitaal forensisch onderzoek uit op allerlei digitale systemen waaronder computersystemen en mobiele telefoons. Hans is sinds 2009 lector E-Discovery aan de Hogeschool van Amsterdam. Hans is een veteraan op het gebied van E-Discovery. In 1992 heeft hij de afdeling Forensisch Computer Onderzoek van het NFI opgericht. Sinds 2010 is Hans Managing Partner van Fox-IT Forensics.
|
Course contents Session 2 – Advanced Mobile Phone and Database Forensics |
|
Mobile Phone Forensics · Software for copying and analyzing internal flash memory of a Symbian Phone · Use of mobile flasher boxes for forensic mobile phone analysis |
|
Database Forensics · Data analysis on structured information in financial databases |
|
Data Visualization · Discover patterns in large e-mail collections |
|
Hands-on |
|
Course material (course reader and software) |
Session 3 – Offensive malware forensics by instructor/expert Guido Smit on Wednesday 24th November 2010.
Smit is digitaal forensisch rechercheur bij Hoffmann met als specialiteit reverse engineering. Hij heeft als senior forensisch internetrechercheur gewerkt bij het Korps landelijke politiediensten.
|
Course contents Session 3 - Offensive malware forensics |
|
Offensive forensics |
|
Intro reverse engineering · X86 assembly basics · Reversing tools, from systinternal tools to advanced (IDA Pro, OllyDBG · Reversing on *Nix |
|
Advanced OllyDBG |
|
Reversing for fun and profit: software cracking, patching serial generators |
|
Monitoring tools: keyloggers, (wifi)sniffers, screenshot loggers |
|
Avoiding Anti-Virus detection |
|
Search Anti-Virus signatures in binaries, patching and inline patching |
|
Buffer overflows / shellcode Privilege escalation techniques Metasploit / AutoPwn |
|
Deploying · Attack vectors · Social engineering · Enumeration and scanning |
|
Hands-on |
|
Course material (course reader and software) |
Session 4 – Ad-hoc file system forensics by instructor/expert Andreas Schuster Thursday 25th and Friday 26th November 2010.
Schuster is senior computer forensic examiner bij Deutsche Telekom AG, expert-bestuurslid van Journal of Digital Investigation en Journal of Digital Forensic Practice, en verbonden aan de Australische IMF Ltd.
|
Course contents Session 4 – Ad-hoc file system forensics |
|
Physical disk examination:
· Physical disk parameters (CHS and LBA addressing, with demo)
· Protected areas (HPA and DCO)
· Acquisition tools and techniques (with demo)
· RAID headers (only briefly mentioned, RAID reconstruction is problem of its own)
Volume examination:
· Master Boot Record / partition table
· GUID Partition Table (GPT)
· Tools (Testdisk, TSK)
· Exercises |
|
File system examination:
· File system layout information
· File name information
· File metadata
· File content |
|
Examine an unknown FS
· Examine the disk
· Isolate the volume
· Statistical analysis of the volume
· Shannon's Entropy
· Chi Square Goodness of Fit Test
· Hamming Weight
· Other techniques
· Guess mime/file type at block boundaries
· Dissect the volume, analyse parts
· Search for repeating patterns
· Identify file name information
· Tools (SQLite, GnuPlot)
· Determine block size
· Connect file name layer with content layer
· Connect file name layer with FS layout information
· Draft analysis tools
· 010 Editor
· Python (using construct and/or Hachoir)
|
|
Hands-on: Analyze real-world case, 40 GB disk image provided |
|
Course material (course reader and software) |
Waar en wanneer
Locatie: Luidsprekerstraat 10 te Almere
Data: maandag 22 tot en met vrijdag 26 november 2010
Tijd: van 09.00 tot 17.00 uur
Aanmelden en informatie
De kosten voor deze exclusieve Sessions bedragen € 1.850,-- exclusief btw voor de gehele week (inclusief lunches en een social event op donderdag).
Wilt u deze exclusieve Sessions niet missen, reserveer dan tijdig via het online aanmeldingsformulier, want er zijn slechts vijfentwintig plaatsen beschikbaar.
U kunt contact opnemen met onze medewerkers op het telefoonnummer 036-52 33 070. Voor inhoudelijke informatie kunt u vragen naar Robert-Jan Mora, voor boekingen en reserveringen kunt u terecht bij Fabiola Schaap.
- Terugblik Hoffmann Advanced Forensic Sessions In maart 2009 organiseerde Hoffmann voor het eerst de Advanced Forensic Sessions. Deze sessies bestonden uit lezingen en workshops die werden gegeven door de volgende, erkende forensische experts: Lance Mueller, Remon Verkerk, Joachim Metz, Bas Kloet, Robert-Jan Mora en Andreas Schuster. De sessies duurden een volle werkweek: van maandag 16 maart tot vrijdag 20 maart.
