# EC-Council CHFI 考試準備用/參考資源 更新時間:2024/08/21 CHFI是什麼 --- 在資訊、資訊安全領域中，英國國家標準協會ISO27001資訊安全管理系統， 定義了資訊安全管理的範疇，ISO27002則是指引資訊安全管理系統相關的控制措施， 在其中，當遭遇資安事件(可能是內部的資安狀況，可能是外部的攻擊)， 當然在處置事件讓資訊環境恢復正常的過程中， 就會需要事件應變處理IH(Incident Handling)、事故應變(Incident Response)、事件調查Forensic Investigator， 然而在事件調查領域中，存在許多跨領域、相關法律的問題， 因此事件調查Forensic Investigator的出發點， 必須在合乎法規、法案、法律的前提下進行， 因為在事件調查的過程中， 很多的程序、步驟若沒有法源依據的支持， 以及完善的調查程序、作業， 很可能因此造成日後在法庭上，調查的結果不被承認， 或者因為沒有完整完善的調查程序， 將採集到的證據完善的保存， 造成在法庭上無法追究肇事者， 因此這一門課程、證照主要就是告訴我們， 以美國法律、各業別規範(金融、醫療等)的基礎下，進行所謂的事件調查工作， 合法且合理的收集取得證據物件並從物件中提取跟事件有關聯的證據。 鑑識與數位鑑識 --- 當案件/事件/事故發生，現實生活中，會有檢、警、調查人員到現場進行封鎖並且採、蒐證，採蒐證人員具備相當的公權力，並且由法院、法官開立搜索票，針對案近進行蒐集相關的實體證據，而當案件/事件/事故涉及可能與資訊、電腦、網路等相關時，就會有所謂的數位證據的收集，平常的情況下，檢、警、調查人員之蒐證人員在蒐集到案件/事件/事故現場的證據後，經過適當的保存，運送，並交由檢、警、調查單位針對蒐集到的證據進行了解、保存與確認是否與案件相關，相同的數位證據在蒐集後除須要妥善保存外，還需要進行證據備份後，始可進行證據分析取樣，而數位證據的蒐集、保存、分析，在CHFI的課文章節中，有詳細的說明。 通過考試條件 --- - 考試科目:312-49 - 考試時間4小時，150題 - 單選或多選題 - 必須答對60%至85%題目才會PASS - 目前考試支援的語系版本僅只有英文 - 考試地點:Pearson VUE考試中心 - 考試費用:有報課程會送考試券一張，沒有報課程單獨考要650美金 準備方向/攻略 --- 官方寫法考試時間4小時，就是從你登入系統打入序號，考官輸入帳密，之後的說明你點了開始考試開始算，老師有建議，就算再熟悉最好作答時間要超過1小時以上再交卷，不然會被記錄，如果考試作答時間過短，且高分通過，有可能會被抽到再考一次，再考一次考不過前次通過紀錄他就會把你作廢。 ※條件1:考試時間4小時，作答完成時間至少1小時以上。 ※條件2:題目150題。 ※條件3:通過考試必須答對的題數60%~78%(也就是90題到117題以上)。 ※條件4:CHFI 6 Domain。 據官方寫法，是150題選擇題，目前為止是單選(也可能有複選)，通過條件依據每次題組至少要答對60%至78%的題目，也就是說，150題如果60%，至少要答對90題，78%至少要答對117題以上你才會通過考試，但是某些科目有隱藏條件官方沒有明講，沒有明講的如下，V9總共有14章節，V10有16章節，他們在考試通過標準中，分為6個Domain，而這6個Domain最好你通過一定的題數，這樣你才會真的通過考試，還有一點因為CHFI是有過ANSI 17024認證，題目每三個月會抽換20%必須要注意，準備方向基本上還是以課本為主，有時候會考lab執行的過程中出現的東西。 6個領域基本上要通過一定題數，但是他們沒有說，當然這邊建議最好答對越多越好，如果沒把握最好每個領域答對60%~80%，就是說150題不是只要對到官方公告的%數就會過，還要加上各領域的，這點要注意，另外考試需要注意到，題組是25題為一組，假設前25題答題正確律高(在第一次選擇完)，下一個題組(後25題)會提升難度，難度越高的題目，分數越高，反之如果開始答題前25題首次作答答案已經錯很多，後面再出來的題目就會變很簡單，相對分數低，有可能要很多題，甚至沒過的機率會很高，總而言之好好看書準備，過的機率比較高。 6個Domain(內容敘述僅供參考，趴數也僅供參考) --- - [Digital Evidence 數位證據] 30% 趴數僅供參考 ※佔總比重高。 這領域大多是在討論取證、取證的合法性、在法庭上數位證據的效力。 - [Forensisc Science 鑑識科學] 22% 趴數僅供參考 這領域大多是在討論取證過程中會遇到的環境處理上的問題、攻擊手法、、反鑑識等等 。 - [Procedures and Methodology 程序和方法] 30% 趴數僅供參考 ※佔總比重高。 這領域大多是在討論數位鑑識過程中，相關程序還有作法。 - [Tools/Systems/Progtrams 工具/系統/程式] 16% 趴數僅供參考 這領域大多是在討論在鑑識、取證，或者處理事件的過程中，遇到一些問題在不童情況下會用到的工具或者用甚麼樣的工具去處理事件。 - [Regulaitions/Polices and Ethic 法規/政策和族群] 15% 趴數僅供參考 這領域大多是在討論法、政，EC-Council是美國來的，所以在這門課、這門考試很多討論到的法規、政策基本上都是美國的。 - [Digital Forensic 數位鑑識] 37% 趴數僅供參考 ※佔總比重高。 這領域大多是在討論數位鑑識作業，呼應到前面幾個Domain，在取證後如何進行鑑識，這邊還有一點就是鑑識報告、還有呼應數位證據跟法規政策等問題。 各章節(內容敘述僅供參考) --- Module 01: Computer Forensics in Today’s World (電腦鑑識總論) 這一章節主要在講電腦鑑識本體、還有帶上法規、政策等。 需要注意到: 刑事調查 Criminal 民事調查 Civil 行政調查 Administrative [Locard exchange principle，羅卡定律] [網路毀謗 假訊息 Cyber Defamation (韓國有定義網路侮辱罪 (Cyber defamation law)] [Fourth Amendment to the United States Constitution，美國憲法第四修正案] [Federal Rules of Evidence Rule，美國聯邦證據法] 第101條-第105條，第801條-第804條 第1001條-第1005條 業別及政府法條 [Federal Information. Security Management Act,FISMA，美國聯邦資訊安全管理法] [Gramm-Leach-Bliley,GLBA，金融服務法現代化法案] [Health Insurance Portability and Accountability Act,HIPPA，美國健康保險便利和責任法案] [Sarbanes-Oxley Act,SOX，沙賓法案] [Payment Card Industry Data Security Standard,PCI DSS，支付卡行業資料安全標準] 注意到V10課本已無提到項目: [Daubert Standard，呆伯特法則] [Silver Platter Doctrine, and Silverthorne LumberCo.vs U.S.,251 U.S.385, 1920，銀盤理論]證據排除法則 [18 U.S. Code § 1029 - Fraud and related activity in connection with access devices，美國聯邦刑法第1029條] [18 U.S. Code § 1030 - Fraud and related activity in connection with computers，美國聯邦刑法第1030條，又稱電腦詐欺及濫用罪章] [18 U.S. Code § 2552A - Certain activities relating to material constituting or containing child pornography，美國聯邦刑法第2552條A款，提供猥褻兒童圖像] [Copyright law of the United States] Module 02: Computer Forensics Investigation Process (電腦鑑識程序) 這一章節主要在講電腦鑑識的流程、程序、鑑識實驗室、證據鍊、證據的取得(合法取證、非法取證)、證據收集的程序、證據的分析、報告撰寫、專家證人、技術證人。 [Chain of Custody，證據監管鏈] [數位鑑識程序] [鑑識實驗室標準ISO/IEC 17025,ASCLD/LAB] ※原先v9版本第十四章報告撰寫併入。 ※第二章有寫道有關Dropbox的一小部分。 Module 03: Understanding Hard Disks and File Systems (硬碟與檔案系統) 這一章節主要在講硬碟結構、磁碟陣列、不同環境硬碟檔案系統 Windows檔案系統、Linux檔案系統、MacOS檔案系統、硬碟物理、磁碟陣列。 Windows檔案系統(FAT、FAT32、NTFS) Mac OS X 系統日誌、檔案系統(HFS+、APFS) Linux系統日誌、檔案系統(EXT、EXT2、EXT3、EXT4) 相關的工具 The Sleuth Kit(TSK)、Autospy Module 04: Data Acquisition and Duplication (資料獲取與複製)，主要講取證的方式、證據備份。 揮發性資料 Volatility Data 非揮發性資料 non-Volatility Data 記憶體鑑識 相關的工具 EnCase Forensic、Belkasoft Live RAM Capture Module 05: Defeating Anti-Forensics Techniques (破解反鑑識技巧)，識別反抗鑑識之行為。 Windows資源回收桶不同版本區別。 Win98 (C:\recycled) Win 2000 / XP (C:\recycler) Win Vista / 7 之後版本(C:\$Recycle.Bin) 鑑識活動中之檔案刪除救回。 鑑識活動中之密碼破譯。 反鑑識之資料隱寫-藏檔案。(Data stream) 反鑑識技術之足跡追蹤。 Module 06: Windows Forensics (Windows作業系統鑑識) Windows作業系統數位鑑識技巧、工具操作。 相關指令 [net session,net share,net file] [nbtstat,netstat] [tasklist /v,dir /o:d] Windows登入編輯器五大階層 [HKEY_USERS] [HKEY_CLASSES_ROOT] [HKEY_CURRENT_CONFIG] [HKEY_LOCAL_MACHINE] [HKEY_CURRENT_USER] Windows Event ID [Type of Logon Event] [4624,4625,4657,4660] ESE Database Windows ShellBags Windows LNK File 相關的工具 AccessData FTK Imager、OSForensics、Regshot 救援軟體Recuva ※原先v9版本第六章 Module 07: Linux and Mac Forensics (Linux, Mac作業系統鑑識) Linux及 Mac OS作業系統數位鑑識技巧、工具操作、指令 階層式檔案系統 Hierarchical File System,HFS Linux系統日誌、檔案系統(EXT、EXT2、EXT3、EXT4)。 Mac OS X 系統日誌、檔案系統(HFS+、APFS)。 常用Linux指令。 [dd,dmesg,grep,pgrep,cat,find,ifconfig] 相關的工具 ※原先v9版本第六章 Module 08: Network Forensics (網路鑑識) 網路犯罪、活動鑑識，指令、工具操作。 防火牆日誌分析(CISCO、Checkpoint) SIEM Bayesian Correlation 相關的工具 Wireshark Capsa Portable Network Analyzer ※V9有提到網路校時 NTP ※原先v9版本第七章 基礎知識OSI七層、TCP/IP 四層 Module 09: Investigating Web Attacks (網站及網路服務攻擊鑑識)，指令、工具操作 DDOS、DOS攻擊手法(SYN flood) 網路釣魚手法 網站伺服器Apache、IIS日誌分析 CSRF、XSS、SQL Injection 密碼破解手法 ※原先v9版本第八章 Module 10: Dark Web Forensics (暗網調查) Tor Borwser通訊協定 Onion routing 暗網活動在地端的調查(記憶體調查、作業系統登錄編輯器留下的資料) ※這章節v9版本沒有，這是新的章節 Module 11: Database Forensics (資料庫鑑識) MS-SQL、MySQL數位鑑識技巧、工具操作、指令 MS-SQL 架構、檔案(mdf、ldf、ibdata1) 相關的指令 相關的工具 MS SQL Studio、Apex SQL MySQL 架構、檔案 (InnoDB、MyISAM) 相關的指令 v9: 備份、備援 ※原先v9版本第九章 Module 12: Cloud Forensics (雲端鑑識) 雲端架構Iaas、Paas、Saas Amazon雲端架構、鑑識 Microsoft Azure雲端架構、鑑識 v9: Google Cloud Google Drive Desktop設定檔 The “sync_config.db” is a SQLite file that gives you information about the connected Google Drive account Dropbox Desktop設定檔 Dropbox安裝路徑下，有「config.db」及「filecache.db」兩個檔案，此檔案為SQLite檔案格式，可使用「SQLite Database Browser」軟體解讀檔案內容。 ※原先v9版本第十章 Module 13: Investigating Email Crimes (調查電子郵件犯罪)，釣魚郵件、電子郵件犯罪、電子郵件備份還原 MUA，MTA，MDA 電子郵件通訊協定 SMTP，POP3，IMAP MAPI Messaging Application Programming Interface 電子郵件標頭 MIME 電子郵件備份 .pst Exchange (PRIV.EDB PRIV.STM PUB.STM PUB.EDB) CAN-SPAM Act.(Controlling the Assault of Non-Solicited Pornography and Marketing Act) 垃圾電子郵件防制法 ※原先v9版本第十二章 Module 14: Malware Forensics (惡意程式鑑識) 靜態分析、動態分析、工具操作 Metamorphic 變種病毒 靜態分析->看檔案特徵雜湊、程式碼 動態分析->看惡意程式活動樣態、記憶體分析、網路分析 靜態分析工具:HashMyFile、OllyDBG、IDA Pro、PE Studio 線上分析工具、沙箱:VirulTotal、hybrid-analysis Dependency Walker 工具，檢查程式與DLL 的相依性 ※原先v9版本第十一章 Module 15: Mobile Forensics (行動裝置鑑識) Android、iPhone等鑑識、指令、工具、sim卡 Android架構 Android debug bridge ADB iPhone架構 - Cocoa Touch - Media - Core services - Core OS iPhone Jailbreaking ICCID， Integrated Circuit Card ID 19 位或 20 位數字 AA BBB CCCCCC DDDDDDDDD AA:industry identifier 電訊/信廠商識別碼 BBB:Country 國家代碼 CCCCC:issuer ID DDDDDDDDD:individual account ID Internat Integrated Circuit Card IDional Mobile Equipment Identity，IMEI，國際行動裝置辨識碼，15碼 Type Allocation Code，TAC，類型分配碼，IMEI 1-6碼 Final Assembly Code，FAC，最終裝配地代碼，IMEI 7-8碼 Serial Number，SN，序號，IMEI 9-14碼 Check Digit，CD，驗證碼，IMEI 15碼 智慧型手機鑑識工具: CelleBrite UFED、XRY Physical、Oxygen Forensic Suite、Oxygen Forensic Detective v9:iPad、PAD、ios app development ※原先v9版本第十三章 Module 16: IoT Forensics (IoT鑑識) IOT裝置鑑識、工具 OWASP IOT Vulnerability IOT架構 ※這章節v9版本沒有，這是新的章節 Reference 線上參考資源 --- - [線上單字卡 僅參考用] CHFI - (Computer Forensics Today) https://quizlet.com/532350624/chfi-chp-1-computer-forensics-today-flash-cards/ CHFI - (Mobile) https://quizlet.com/501299315/chfi-module-9-database-forensics-flash-cards/ CHFI - (Mobile) https://quizlet.com/270270701/chfi-chapter-13-mobile-flash-cards/ CHFI - (Database Forensics) https://quizlet.com/267794453/chfi-chapter-9-database-forensics-flash-cards/ CHFI - (OS Forensics) https://quizlet.com/501159330/chfi-module-6-os-forensics-flash-cards/ CHFI Module 3 Review https://quizizz.com/admin/quiz/5f8583eb7ceb25001bb19bb4/chfi-module-3-review?section=library CHFI Module 4 Review https://quizizz.com/admin/quiz/5f9c3b1dda332d001b0d486b/chfi-module-4-review?section=library Certified Hacking Forensic Investigator (CHFI) - Exam Prep https://quizlet.com/131960332/certified-hacking-forensic-investigator-chfi-exam-prep-flash-cards/ CHFI Module 10 Cloud Forensics https://quizizz.com/admin/quiz/5e73a5283c3c06001c4c5e5a/chfi-module-10-cloud-forensics Malware Forensics https://quizizz.com/admin/quiz/5e95a166cb9267001bf27464/chfi-module-11-malware-forensics?section=library Reference [參考資料 僅參考用] --- CHFI v9 (Computer Hacking Forensic Investigator, 2017) 閉門造車 讀書心得與資訊技術的分享 http://ccsig.blogspot.com/2017/09/fbcehchfi-computer-hacking-forensic.html Cyber defamation law https://en.wikipedia.org/wiki/Cyber_defamation_law Fyre Standard https://en.wikipedia.org/wiki/Frye_standard Silver Platter Doctrine, and Silverthorne LumberCo.vs U.S.,251 U.S.385, 1920 https://www.encyclopedia.com/politics/encyclopedias-almanacs-transcripts-and-maps/silver-platter-doctrine 美國聯邦證據規則的傳聞法則(高點法律網,主筆高政大) https://reurl.cc/3oyVrO 法學譯粹 美國空軍電腦犯罪偵查手冊（一） 柴漢熙 法源法律網 https://www.lawbank.com.tw/treatise/pl_article.aspx?AID=P000212626 18 U.S. Code § 1029 - Fraud and related activity in connection with access devices https://www.law.cornell.edu/uscode/text/18/1029 18 U.S. Code § 1030 - Fraud and related activity in connection with computers https://www.law.cornell.edu/uscode/text/18/1030 18 U.S. Code § 2251 - Sexual exploitation of children https://www.law.cornell.edu/uscode/text/18/2251 18 U.S. Code § 2252 - Certain activities relating to material involving the sexual exploitation of minors https://www.law.cornell.edu/uscode/text/18/2252 18 U.S. Code § 2252A - Certain activities relating to material constituting or containing child pornography https://www.law.cornell.edu/uscode/text/18/2252A Copyright law of the United States https://en.wikipedia.org/wiki/Copyright_law_of_the_United_States S.M.A.R.T. https://zh.wikipedia.org/zh-tw/S.M.A.R.T. How to Enable or Disable NTFS Last Access Time Stamp Updates in Windows 10 https://www.tenforums.com/tutorials/139015-enable-disable-ntfs-last-access-time-stamp-updates-windows-10-a.html Windows Forensics: analysis of Recycle bin artifacts https://andreafortuna.org/2019/09/26/windows-forensics-analysis-of-recycle-bin-artifacts/ Rifiuti2 : Windows Recycle Bin Analyser https://kalilinuxtutorials.com/rifiuti2/ Recycle Bin Forensics in Windows 7 and Vista https://dereknewton.com/2010/06/recycle-bin-forensics-in-windows-7-and-vista/ Tor Browser 不完全指南 https://reurl.cc/VDnVpn How Tor Browser Works and Where to Find Built-in Tor Bridges https://www.fortinet.com/blog/threat-research/dissecting-tor-bridges-pluggable-transport How to access the Dark Web https://medium.com/@StarDust770/how-to-access-the-dark-web-straightforward-guide-37415cc5b299 Android 架構、開發工具與虛擬平台-廖彧宏 洪士灝 https://www.csie.ntu.edu.tw/~hungsh/Android_NCP.pdf 淺談iPhone OS架構 https://www.inside.com.tw/article/52-%E6%B7%BA%E8%AB%87iphone-os%E6%9E%B6%E6%A7%8B 手機取證系統運用於犯罪偵查之研究-行政院海岸巡防署 https://www.cga.gov.tw/GipOpen/wSite/public/Attachment/f1526974800845.pdf 智慧型手機鑑識系統設計與實作-以 Android 平台為例-李欣芳 楊中皇 http://security.nknu.edu.tw/psnl/publications/2011CISC2.pdf Azure Blob 儲存體簡介 https://docs.microsoft.com/zh-tw/azure/storage/blobs/storage-blobs-introduction OWASP-IoT-Top-10---Introduction-and-Root-Causes https://owasp.org/www-chapter-toronto/assets/slides/2019-12-11-OWASP-IoT-Top-10---Introduction-and-Root-Causes.pdf Reference [線上參考題庫 僅參考用] --- V10 50Q Oct 7 , 2021 https://www.freecram.net/pdf/312-49v10.pdf V10 209Q Oct 20, 2021 https://www.freecram.net/torrent/EC-COUNCIL.312-49v10.v2021-10-20.q209.html V10 209Q Jan 18, 2022 https://www.freecram.net/torrent/EC-COUNCIL.312-49v10.v2022-01-18.q209.html V10 112Q Mar 08, 2022 https://www.freecram.net/torrent/EC-COUNCIL.312-49v10.v2022-03-08.q112.html V10 585Q https://www.examtopics.com/exams/eccouncil/312-49v10/ - [v9 題目僅參考用] V9 310Q https://www.freecram.net/torrent/EC-COUNCIL.312- 49.v2018-06-03.q310.html V9 294Q https://www.freecram.net/torrent/EC-COUNCIL.EC0-349.v2018-03-15.q294.html V9 66Q https://www.test-questions.com/chfi-exam-questions-66.php# V9 86Q https://www.freecram.net/torrent/EC-COUNCIL.312-49v9.v2020-01-08.q86.html ###### tags: `EC-Council` `CHFI`