Module also offered within study programmes:
General information:
Name:
Wprowadzenie do informatyki śledczej
Course of study:
2019/2020
Code:
HNKT-1-209-s
Faculty of:
Humanities
Study level:
First-cycle studies
Specialty:
-
Field of study:
Nowoczesne technologie w kryminalistyce
Semester:
2
Profile of education:
Academic (A)
Lecture language:
Polish
Form and type of study:
Full-time studies
Course homepage:
 
Responsible teacher:
dr inż. Faber Łukasz (faber@agh.edu.pl)
Module summary

Przedmiot wprowadza w szerokie zagadnienie informatyki śledczej i analizy dowodowej w zakresie systemów plików, pamięci operacyjnej i ruchu sieciowego.

Description of learning outcomes for module
MLO code Student after module completion has the knowledge/ knows how to/is able to Connections with FLO Method of learning outcomes verification (form of completion)
Social competence: is able to
M_K001 Rozumie, jakie konsekwencje mogą mieć dane pozyskane w ramach analizy dowodowej. NKT1A_K02 Examination
Skills: he can
M_U001 Potrafi przeprowadzić analizę dowodową w zakresie systemów plików, pamięci operacyjnej i ruchu sieciowego. NKT1A_U04 Execution of laboratory classes
Knowledge: he knows and understands
M_W001 Zna konstrukcję systemów plików, pamięci i ruchu sieciowego w stopniu pozwalającym na ich analizę. NKT1A_W04 Execution of laboratory classes
M_W002 Zna podstawowe artefakty w systemach Windows, Linux, macOS, Android i iOS. NKT1A_W04 Execution of laboratory classes
Number of hours for each form of classes:
Sum (hours)
Lecture
Audit. classes
Lab. classes
Project classes
Conv. seminar
Seminar classes
Pract. classes
Zaj. terenowe
Zaj. warsztatowe
Prace kontr. przejść.
Lektorat
60 30 0 30 0 0 0 0 0 0 0 0
FLO matrix in relation to forms of classes
MLO code Student after module completion has the knowledge/ knows how to/is able to Form of classes
Lecture
Audit. classes
Lab. classes
Project classes
Conv. seminar
Seminar classes
Pract. classes
Zaj. terenowe
Zaj. warsztatowe
Prace kontr. przejść.
Lektorat
Social competence
M_K001 Rozumie, jakie konsekwencje mogą mieć dane pozyskane w ramach analizy dowodowej. + - + - - - - - - - -
Skills
M_U001 Potrafi przeprowadzić analizę dowodową w zakresie systemów plików, pamięci operacyjnej i ruchu sieciowego. + - + - - - - - - - -
Knowledge
M_W001 Zna konstrukcję systemów plików, pamięci i ruchu sieciowego w stopniu pozwalającym na ich analizę. + - + - - - - - - - -
M_W002 Zna podstawowe artefakty w systemach Windows, Linux, macOS, Android i iOS. + - + - - - - - - - -
Student workload (ECTS credits balance)
Student activity form Student workload
Summary student workload 110 h
Module ECTS credits 4 ECTS
Udział w zajęciach dydaktycznych/praktyka 60 h
Preparation for classes 20 h
Realization of independently performed tasks 25 h
Contact hours 5 h
Module content
Lectures (30h):

  1. Zbieranie cyfrowych danych dowodowych.
  2. Artefakty w systemach Windows, Linux Windows, Linux, macOS.
  3. Artefakty w systemach mobilnych Android i iOS.
  4. Analiza pamięci operacyjnej.
  5. Analiza systemów plików.
  6. Analiza ruchu sieciowego.

Laboratory classes (30h):

  1. Metody zbierania danych do analizy
  2. Analiza pamięci operacyjnej
  3. Analiza systemów plików
  4. Analiza ruchu sieciowego
  5. Analiza artefaktów użytkownika
  6. Analiza systemów mobilnych
  7. Przygotowanie własnej analizy dowodowej.

Additional information
Teaching methods and techniques:
  • Lectures: Treści prezentowane na wykładzie są przekazywane w formie prezentacji multimedialnej w połączeniu z klasycznym wykładem tablicowym wzbogaconymi o pokazy odnoszące się do prezentowanych zagadnień.
  • Laboratory classes: W trakcie zajęć laboratoryjnych studenci samodzielnie rozwiązują zadany problem praktyczny, dobierając odpowiednie narzędzia. Prowadzący stymuluje grupę do refleksji nad problemem, tak by otrzymane wyniki miały wysoką wartość merytoryczną.
Warunki i sposób zaliczenia poszczególnych form zajęć, w tym zasady zaliczeń poprawkowych, a także warunki dopuszczenia do egzaminu:

Laboratorium: średnia ocen z poszczególnych tematów laboratoriów.

Participation rules in classes:
  • Lectures:
    – Attendance is mandatory: No
    – Participation rules in classes: Studenci uczestniczą w zajęciach poznając kolejne treści nauczania zgodnie z syllabusem przedmiotu. Studenci winni na bieżąco zadawać pytania i wyjaśniać wątpliwości. Rejestracja audiowizualna wykładu wymaga zgody prowadzącego.
  • Laboratory classes:
    – Attendance is mandatory: Yes
    – Participation rules in classes: Studenci wykonują ćwiczenia laboratoryjne zgodnie z materiałami udostępnionymi przez prowadzącego. Student jest zobowiązany do przygotowania się w przedmiocie wykonywanego ćwiczenia, co może zostać zweryfikowane kolokwium w formie ustnej lub pisemnej. Zaliczenie zajęć odbywa się na podstawie zaprezentowania rozwiązania postawionego problemu.
Method of calculating the final grade:

Średnia ocen z laboratorium i egzaminu.

Sposób i tryb wyrównywania zaległości powstałych wskutek nieobecności studenta na zajęciach:

W przypadku usprawiedliwionej nieobecności na zajęciach laboratoryjnych student może odrobić maksymalnie jedne zajęcia w innym terminie.
Nieusprawiedliwione nieobecności na laboratorium powodują brak zaliczenia przedmiotu.

Prerequisites and additional requirements:

Studenci powinni:

  • rozumieć budowę pamięci operacyjnej,
  • znać budowę prostego systemu plików (np. FAT, albo EXT2),
  • znać podstawy sieci.
Recommended literature and teaching resources:
  • Jason T. Luttgens, Matthew Pepe. “Incident Response & Computer Forensics, Third Edition.” 2014, McGraw-Hill Education.
  • Gerard Johansen. “Digital Forensics and Incident Response.” 2017, Packt Publishing.
  • Michael Hale Ligh & Andrew Case & Jamie Levy & Aaron Walters. “The Art of Memory Forensics”. 2014, John Wiley and Sons.
  • Bruce Nikkel. “Practical Forensic Imaging.” 2016, No Starch Press.
Scientific publications of module course instructors related to the topic of the module:

Additional scientific publications not specified

Additional information:

None