Der Kurs Windows Registry Forensics zeigt Ihnen, wie Sie die Live-Registrierung untersuchen, wo sich die Registrierungsdateien auf dem forensischen Image befinden und wie Sie Dateien extrahieren.
Schenken Sie Ihrer Karriere Coursera Plus mit einem Rabatt von $160 , der jährlich abgerechnet wird. Sparen Sie heute.
Forensik der Windows-Registrierung
Dieser Kurs ist Teil von Spezialisierung Computer-Forensik
Dozent: Denise Duffy
4.476 bereits angemeldet
Bei enthalten
(48 Bewertungen)
Wichtige Details
Zu Ihrem LinkedIn-Profil hinzufügen
1 Aufgabe
Erfahren Sie, wie Mitarbeiter führender Unternehmen gefragte Kompetenzen erwerben.
Erweitern Sie Ihre Fachkenntnisse
- Lernen Sie neue Konzepte von Branchenexperten
- Gewinnen Sie ein Grundverständnis bestimmter Themen oder Tools
- Erwerben Sie berufsrelevante Kompetenzen durch praktische Projekte
- Erwerben Sie ein Berufszertifikat zur Vorlage
Erwerben Sie ein Karrierezertifikat.
Fügen Sie diese Qualifikation zur Ihrem LinkedIn-Profil oder Ihrem Lebenslauf hinzu.
Teilen Sie es in den sozialen Medien und in Ihrer Leistungsbeurteilung.
In diesem Kurs gibt es 8 Module
Erfahren Sie, was die Windows-Registrierung ist und warum sie bei digitalen forensischen Untersuchungen wichtig ist. Dieses Modul befasst sich mit dem Ort und der Struktur der Registrierungshives in einer Live- und Nicht-Live-Umgebung sowie mit den Arten von forensischen Beweisen, die in der Windows-Registrierung gefunden werden. Dazu gehören: Benutzerkontoinformationen, systemweite und benutzerspezifische Einstellungen, Dateizugriff, Programminstallation und -ausführung, Suchbegriffe, Autostart-Speicherorte und an das System angeschlossene Geräte. Bitte nutzen Sie die Links und Tools in den beiden Leseabschnitten, um die URLs und andere Downloads zu erhalten, die Sie für den Kurs benötigen.
Das ist alles enthalten
2 Videos3 Lektüren
Lernen Sie, wie Sie eine forensische Workstation einrichten, um die Windows-Registrierung ordnungsgemäß zu untersuchen. Dieses Modul befasst sich mit dem Speicherort der Registrierungsdateien innerhalb des Windows-Betriebssystems und den vielen frei verfügbaren Tools, mit denen Sie die Dateistruktur und die in der Windows-Registrierung enthaltenen Artefakte anzeigen können. Es enthält Anleitungen zur Installation, zur korrekten Verwendung und zur Validierung Ihrer forensischen Software und zeigt Ihnen, wie Sie das Beste aus Ihren automatisierten Tools herausholen und gleichzeitig verstehen, was das Tool hinter den Kulissen tut.
Das ist alles enthalten
4 Videos
Dieses Modul demonstriert eine eingehende Analyse der Artefakte, die in der Hive-Datei NTUser.Dat enthalten sind. Dieses Modul zeigt dem Prüfer, wie er Programme und Anwendungen, gemountete Volumes und angeschlossene Geräte speziell für einen Benutzer, Suchbegriffe des Benutzers und eingegebene URLs findet. Die Prüfer werden auch in der Lage sein, geöffnete und gespeicherte Dateien, eingegebene URLs, benutzerspezifische Programme, die beim Start ausgeführt werden sollen, sowie die Installation und Ausführung von Anwendungen zu finden und zu identifizieren. Sie sind in der Lage, MRU-Listen (Most Recently Used), UserAssist, Systemeinstellungen des Benutzers und zuletzt verwendete Dateien zu lokalisieren, zu untersuchen und zu interpretieren.
Das ist alles enthalten
9 Videos
Dieses Modul erklärt forensische Artefakte, die in der SAM-Datei (Security Account Manager) zu finden sind, in der Informationen über jeden Benutzer auf einem System gespeichert und organisiert werden. In diesem Modul wird gezeigt, wie Sie jedes Benutzerkonto auf einem lokalen Rechner anhand der relativen Kennung identifizieren können. Die Prüfer können auch lernen, die Informationen über den Benutzernamen zu interpretieren, einschließlich der Anmeldedaten, -zeiten und der Anzahl der Anmeldungen. Das Modul zeigt, wie Sie den Rechner identifizieren, auf dem das Benutzerkonto erstellt wurde, indem Sie die SIDs (Rechner-/Domänenbezeichner) eines Benutzers interpretieren und die Hashes der Benutzerkennwörter wiederherstellen.
Das ist alles enthalten
5 Videos
In diesem Modul erfahren die Prüfer, wie sie forensisch wertvolle Informationen über die Ausführung und Installation von Anwendungen in der Software-Hive-Datei finden. Das Modul bietet einen Überblick über die forensischen Artefakte, die in der Software-Hive-Datei gefunden werden, z. B. installierte Programme und Anwendungen, Betriebssystemtyp, Installationsdatum und -zeit, drahtlose Netzwerkinformationen, Dateizuordnung, Domänenanmeldeinformationen, der zuletzt angemeldete Benutzer, Programme, die beim Start ausgeführt werden sollen, und die Verfolgung von USB-Geräten, die an das System angeschlossen waren.
Das ist alles enthalten
3 Videos
In diesem Modul werden Beweise für den forensischen Wert der System-Hive-Datei demonstriert. Dieses Modul untersucht die System-Hive-Datei und zeigt, wie Sie den aktuellen Kontrollsatz, den Computernamen, das Datum und die Uhrzeit des letzten Herunterfahrens, die Crash Dump-Einstellungen und den Speicherort, die Dienste, die beim Start ausgeführt werden sollen, die Auslagerungsdateieinstellungen, die Prefetch-Einstellungen, die Zeiteinstellungen für den letzten Dateizugriff, den AppCompat Cache, den BAM (Monitor für Hintergrundaktivitäten) und die Verbindungen und Trennungen von USB-Geräten mit Datum und Uhrzeit ermitteln.
Das ist alles enthalten
3 Videos
Dieses Modul identifiziert und erklärt forensische Artefakte, die in der Hive-Datei UsrClass.dat gefunden werden. Dieses Modul befasst sich mit der Hive-Datei UsrClass.dat. Der Prüfer wird lernen, die Windows ShellBags zu erklären, die benutzerspezifische Zip-Dateien und Ordnerzugriffe und -einstellungen, einschließlich Datum und Uhrzeit, selbst auf gelöschten Ordnern und Wechselmedien, aufzeichnen. Der Prüfer wird auch lernen, den Unterschlüssel MuiCache zu interpretieren, um installierte Anwendungen einzubeziehen. Die Microsoft Photo App, die die zuletzt aufgerufenen Bilddateien anzeigt, wird ebenfalls erkundet.
Das ist alles enthalten
2 Videos
In diesem Modul wird die AmCache Hive-Datei untersucht, in der Informationen über die Ausführung von Anwendungen gespeichert sind. Eine forensische Untersuchung der AmCache Hive-Datei zeigt Folgendes: Installation der Anwendung, Datum und Uhrzeit der ersten Ausführung der Anwendung, einen Dateipfad zur ausführbaren Datei, die Quelle der Anwendung, einen SHA-1-Hash-Wert der ausführbaren Datei, angeschlossene Plug-and-Play-Geräte, GUIDs von gemounteten Volumes und Informationen zur Systemhardware.
Das ist alles enthalten
2 Videos1 Aufgabe
Dozent
von
Empfohlen, wenn Sie sich für Sicherheit interessieren
Johns Hopkins University
University of Colorado System
University of London
Warum entscheiden sich Menschen für Coursera für ihre Karriere?
Bewertungen von Lernenden
Zeigt 3 von 48
48 Bewertungen
- 5 stars
79,16 %
- 4 stars
18,75 %
- 3 stars
2,08 %
- 2 stars
0 %
- 1 star
0 %
Geprüft am 19. Apr. 2022
Geprüft am 26. Nov. 2021
Geprüft am 10. Sep. 2021
Neue Karrieremöglichkeiten mit Coursera Plus
Unbegrenzter Zugang zu über 7.000 erstklassigen Kursen, praktischen Projekten und Zertifikatsprogrammen, die Sie auf den Beruf vorbereiten – alles in Ihrem Abonnement enthalten
Bringen Sie Ihre Karriere mit einem Online-Abschluss voran.
Erwerben Sie einen Abschluss von erstklassigen Universitäten – 100 % online
Schließen Sie sich mehr als 3.400 Unternehmen in aller Welt an, die sich für Coursera for Business entschieden haben.
Schulen Sie Ihre Mitarbeiter*innen, um sich in der digitalen Wirtschaft zu behaupten.
Häufig gestellte Fragen
Der Zugang zu Vorlesungen und Aufgaben hängt von der Art Ihrer Einschreibung ab. Wenn Sie einen Kurs im Prüfungsmodus belegen, können Sie die meisten Kursmaterialien kostenlos einsehen. Um auf benotete Aufgaben zuzugreifen und ein Zertifikat zu erwerben, müssen Sie die Zertifikatserfahrung während oder nach Ihrer Prüfung erwerben. Wenn Sie die Prüfungsoption nicht sehen:
Der Kurs bietet möglicherweise keine Prüfungsoption. Sie können stattdessen eine kostenlose Testversion ausprobieren oder finanzielle Unterstützung beantragen.
Der Kurs bietet möglicherweise stattdessen die Option 'Vollständiger Kurs, kein Zertifikat'. Mit dieser Option können Sie alle Kursmaterialien einsehen, die erforderlichen Bewertungen abgeben und eine Abschlussnote erhalten. Dies bedeutet auch, dass Sie kein Zertifikat erwerben können.
Wenn Sie sich für den Kurs einschreiben, erhalten Sie Zugang zu allen Kursen der Specializations, und Sie erhalten ein Zertifikat, wenn Sie die Arbeit abgeschlossen haben. Ihr elektronisches Zertifikat wird Ihrer Erfolgsseite hinzugefügt - von dort aus können Sie Ihr Zertifikat ausdrucken oder zu Ihrem LinkedIn-Profil hinzufügen. Wenn Sie die Kursinhalte nur lesen und ansehen möchten, können Sie den Kurs kostenlos besuchen.
Wenn Sie ein Abonnement abgeschlossen haben, erhalten Sie eine kostenlose 7-tägige Testphase, in der Sie kostenlos kündigen können. Danach gewähren wir keine Rückerstattung, aber Sie können Ihr Abonnement jederzeit kündigen. Siehe unsere vollständigen Rückerstattungsbedingungen.