电子数据取证分析师考核标准说明

1、重庆市新职业考核标准（试行）电子数据取证分析师重庆市职业技能公共实训中心 编审电子数据取证分析师考核标准1职业概况1.1 职业名称电子数据取证分析师1.2 职业定义从事电子数据的收集提取、数据恢复及取证分析的人员。1.3 职业技能等级根据职业的实际情况，本职业共设 三个等级，分别为：初级、中级、高级。1.4 职业环境条件室内， 常温。1.5职业能力特征具有较强的计算、操作和逻辑思维能力，具有一定的空间感、形体知觉及色觉，手指、手臂灵活，动作协调。1.6普通受教育程度高中毕业（或同等学历）。1.7 职业技能考核要求1.7.1申报条件具有以下条件之 一者， 可申报初级 ：( 1 ) 累计从事本职业

2、或相关职业工作 2 年（含）以上 ， 经本职业初级正规培训达规定标准学时数 。( 2 ) 取得技工学校本专业或相关专业毕业证书（含尚未取得毕业证书的在校应届毕业生）；或取得经评估论证、以中级技能为培养目标的中等及以上职业 学校本专业或相关专业毕业证书（含尚未取得毕业证书的在校应届毕业生）。一一具备以下条件之一者，可申报中级（1） 取得本职业或相关职业初级证书（技能等级证书后，累计从事本职业或相关职业工作 2 年（含）以上，经本职业中级正规培训达规定标准学时数。( 2 ) 取得本职业或相关职业初级证书（技能等级证书），并具有高级技工学校、技师学院毕业证书；或取得本职业或相关职业初级证书（技能等级

3、证书），并具有经评估论证、以高级技能为培养目标的高级职业学校本专业或相关专业毕业证书。( 3 ) 具有大专及以上本专业或相关专业毕业证书，并取得本职业或相关职业初级证书（技能等级证书）后，累计从事本职业或相关职业工作 1 年（含） 以上。 具备以下条件之一者， 可申报高级：( 1 ) 取得本职业或相关职业中级证书（技能等级证书）后， 累计从事本职业或相关职业工作 3 年（含）以上，经本职业技师正规培训达规定标准学时数。( 2 ) 取得本职业或相关职中级证书（技能等级证书）的高级技工学校、技师学院毕业生，累计从事本职业或相关职业工作 3 年（含 ）以上；或取得本职业或相关职中级证书（技能等级书）

4、，具有本职业或相关职业预备技师证书的技师学院毕业生，累计从事本职业或相关职业工作 2 年（含）以上。1.7.2考核方式分为理论知识考试、技能考核的方法和形式。理论知识考试采用上机考核的方式，主要考核从业人员从事本职业应掌握的基本要求和相关知识要求；技能考核主要采用模拟操作方式进行，主要考核从业人员从事本职业应具备的技能水平。理论知识考试、技能考核均实行百分制，成绩皆达 60 分（含）以上者为合格。1.7.3监考人员、考评人员与考生配比理论知识考试中的监考人员与考生配比不低于 1: 15,且每个标准考场不少于 2 名监考人员；技能考核中的考评人员与考生配比不低于 1: 15,且考评人员为 2 人

5、（含）以上。1.7.4考核时间理论知识考试时间不少于 90min, 技能考核时不少于90min。1.7.5 考核场所设备理论知识考试与技能考核场所为标准教室、计算机教室。2 考核要求本标准对初级、中级和高级的技能要求一次递进，高级别涵盖低级别的要求。2.1 初级职业模块培训模块技能培训内容理论知识培训内容1.取证环境部署1.1电子数据取证技术规范1.1.1 电子数据取证的操作流程1.1.2 电子数据取证的基本原则1. 1.3 电子数据取证通用程序1.1.1电子数据取证名词术语1.1.2电子数据鉴定基本原则1.1.3 案件受理流程1.1.4 档案管理要求1.1.5 电子数据证据具备特征1.2工具

6、使用1.2.1 磁盘文件取证复制工具的使用1.2.2 数据恢复工具的使用1.2.1磁盘文件取证复制工具FTK imager的使用1.2.2数据恢复工具R-Studio的使用1.3制作证据镜像1.3.1能够制作DD、E01镜像文件1.3.2能够使用NETCAT远程克隆硬盘1.3.1 磁盘镜像制作步骤1.3.2 证据镜像格式类型1.4系统仿真1.4.1 能够通过虚拟机技术，对装有Windows、MacOS、Linux等多种操作系统硬盘和镜像文件进行无痕仿真启动1.4.2能够对各种物理硬盘，以及DD、E01等格式的磁盘镜像进行仿真1.4.1 系统仿真技术定义1.4.2 系统仿真名词术语2.电子数据取

7、证2.1计算机取证分析2.1.1 能够制作证据镜像，转换镜像文件格式2.1.2能够备份和提取证据文件（如隐藏文件，受保护系统文件）2.1.3能够对计算机文件的创建时间、修改时间、访问时间，邮件的发送时间、接收时间、保存时间，文件传输的创建时间、接收时间、完成时间等时间属性进行时间线分析2.1.4能够对当前运行操作系统下的历史命令记录、防火墙规则、登录日志、网络连接、网卡信息、系统信息、进程信息、用户信息进行快速提取并固定2.1.5能够对系统概况、系统磁盘使用情况、内存使用情况、用户列表、进程列表、系统启动项、IP地址等信息提取并固定2.1.1查看系统基本信息的方法2.1.2获取系统网络配置信息

8、2.1.3查看系统正在运行进程的方法2.1.4监听端口和对应的当前连接方法2.2手机取证分析2.2.1能够对手机文件的创建时间、修改时间、访问时间，邮件的发送时间、接收时间、保存时间，文件传输的创建时间、接收时间、完成时间等时间属性进行时间线分析2.2.2 能够对即时信息/聊天记录进行提取与鉴定2.2.3 能够提取手机系统数据2.2.4 能够提取手机应用数据进行在线仿真，通过仿真模拟器查看手机QQ、微信、新浪微博等数据，进行调查分析并截图作为取证报告辅助证据，且不破坏原有手机数据的完整性及有效性。2.2.5 能够在手机提取镜像后，通过手机仿真系统，可以加载镜像进行离线仿真。通过仿真模拟器上查看

9、手机QQ、微信、新浪微博等数据，进行调查分析并截图取证。2.2.1了解SQLite数据库的结构2.2.2掌握SQLite分析中常用的SQL语句2.2.3掌握SQLite数据库文件结构的恢复2.2.4 掌握SQLite 日志的数据恢复方法2.2.5获取手机系统信息相关指令的方法2.3网络取证分析2.3.1能够对域名、服务器IP、端口、服务器软件种类和版本等各种网站运行状态信息进行固定2.3.2能够对系统概况、系统磁盘使用情况、内存使用情况、用户列表、进程列表、系统启动项、IP地址等提取2.3.3能够对系统DNS 缓存中所访问过的域名、所对应的 IP 地址及该 IP 归属地等信息提取2.3.4 能

10、够对登录日志、文件访问日志、历史命令日志、系统日志、应用日志、安全日志、内核日志、浏览器历史等提取2.3.5能够对系统所启用的网络端口、所使用的协议类型、远程服务器 IP、远程连接IP 地址归属地、端口及所对应的进程等信息提取2.3.6 能够对远程主机当前网络通信状态，进行数据包的定制获取，并对数据包进行分析；2.3.7能够获取远程服务器文件系统、目录等。2.3.1了解网络取证的定义和特点2.3.2了解网络监控的程序2.3.3了解网络取证的数据来源2.3.4掌握云存储取证的基本方法2.4 APP溯源取证分析2.4.1能够对APK文件主函数名、签名证书MD5、签名算法、签名公钥、签名类型、证书版

11、本、证书使用者、证书颁发者等信息提取2.4.2 支持对APK 进行网络数据包提取2.4.3 能够提取 APK 文件的基本信息、详细信息 2.4.4 能够通过动态监控对 APK 获取用户信息、操作手机、网络信息等内容进行全程监控2.4.1 查看apk请求的权限2.4.2 Android编译过程2.4.3 Android编译基本语法规则2.4.4 掌握 APK文件结构2.4.5 Apk反编译流程2.5工控系统取证分析2.5.1 能够直接对PLC控制器进行数据提取并分析2.5.2 能够对工控系统进行端口信息进行提取2.5.1 PLC的构成2.5.2 PLC的 I/O模块2.5.3 PLC的CPU构成

12、3数据恢复3.1 硬件物理故障数据恢复3.1.1 掌握盘片的清洗方法3.1.2 掌握硬盘电机和盘体的更换方法3.1.3 硬盘电机更换后敲盘的数据恢复方案 3.1.4 掌握固态硬盘、机械硬盘的固件修复3.1.1 常见硬盘的内部结构3.1.2 硬盘工作的原理3.1.3 更换硬盘磁头和盘片的注意事项3.1.4 硬盘安全模式的设置3.1.5 硬盘的 ROM 替换方法3.2逻辑故障数据恢复3.2.1 能够提取数据，制做映像，克隆硬盘3.2.2 能够使用数据恢复软件对FAT32、NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1分区丢失的数据恢复3.2.3 能够使用数据恢复软件对FAT32、NT

13、FS、EXFAT、HFS+、EXT3、 EXT4、UFS1分区数据被删除的恢复3.2.4 能够使用数据恢复软件对FAT32、NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1分区数据误格式化的恢复3.2.5 能够使用数据恢复软件对FAT32、NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1分区数据误GHOST的恢复3.2.1 理解FAT32文件系统的整体结构与DBR的结构3.2.2 理解ExFAT文件系统的整体结构与DBR的结构3.2.3 掌握手工提取ExFAT文件系统中数据的方法3.2.4理解NTFS、EXT3、EXT4、HFS+、UFS1文件系统的整体结构3.3数据库

14、数据恢复3.3.1 能够对Mysql、SQLServer数据库进行恢复3.3.2 对数据库文件损坏、数据库被删除，能够通文件恢复进行数据库的重组与解析3.3.1 数据库管理系统的概念3.3.2 常见的数据库管理系统3.3.3 数据库的重组3.4 文件修复3.4.1 能够对损坏的JPG图像文件进行修复3.4.2 能够对损坏的PNG图像文件进行修复3.4.3 能够对损坏的BMP图像文件进行修复3.4.1 理解JPG图像文件数据结构3.4.2 理解PNG图像文件数据结构3.4.3 理解BMP图像文件数据结构3.5 磁盘阵列数据恢复3.5.1 能够判断RAID 通常出现的故障可能性3.5.2 能够掌握

15、常见的 RAID 数据丢失情形3.5.3 常见 RAID 级别的恢复方法3.5.1 RAID 简介及分类3.5.2 RAID 磁盘阵列组合原理3.5.3 RAID 01 与 RAID 103.5.4 RAID 503.5.5 常见的 RAID 故障类型3.5.6 RAID 数据恢复恢复技术原理3.5.7 RAID 类型的判断2.2 中级职业模块培训模块技能培训内容理论知识培训内容1.取证环境部署1.1电子数据取证技术规范1.1.1 电子数据取证的操作流程1.1.2 电子数据取证的基本原则1. 1.3 电子数据取证通用程序1.1.1 电子数据取证名词术语1.1.2 电子数据鉴定基本原则1.1.3

16、 案件受理流程1.1.4 档案管理要求1.2 工具使用1.2.1 磁盘文件取证复制工具的使用1.2.2 数据恢复工具的使用1.2.3 取证分析工具的使用1.2.1 磁盘文件取证复制工具FTK imager的使用1.2.2 数据恢复工具R-Studio的使用1.2.3 网络取证分析工具Xplico的使用1.2.4 取证分析工具X-Ways Forensics、WindowsSCOPE的使用1.3 制作证据镜像1.3.1能够制作DD、E01镜像文件1.3.2能够远程克隆硬盘或分区，并能制作成镜像文件1.3.1 磁盘镜像制作步骤1.3.2 证据镜像格式类型1.3.3 NETCAT远程克隆硬盘1.4

17、系统仿真1.4.1 能够通过虚拟机技术，对装有Windows、MacOS、Linux等多种操作系统硬盘和镜像文件进行无痕仿真启动1.4.2能够对各种物理硬盘，以及DD、E01等格式的磁盘镜像进行仿真1.4.3能够对网络驱动器中的镜像仿真1.4.1 系统仿真技术定义1.4.2 系统仿真名词术语1.4.3 系统仿真技术的应用2.电子数据取证2.1计算机取证分析2.1.1 能够制作证据镜像，转换镜像文件格式2.1.2能够备份和提取证据文件（如隐藏文件，受保护系统文件）2.1.3能够对计算机文件的创建时间、修改时间、访问时间，邮件的发送时间、接收时间、保存时间，文件传输的创建时间、接收时间、完成时间等

18、时间属性进行时间线分析2.1.4 能够对当前运行操作系统下的历史命令记录、防火墙规则、登录日志、网络连接、网卡信息、系统信息、进程信息、用户信息进行快速提取并固定2.1.5能够对系统概况、系统磁盘使用情况、内存使用情况、用户列表、进程列表、系统启动项、IP地址等信息提取并固定2.1.6 能够校验证据一致性 2.1.7 能够判断系统故障，并能识别恶意软件、病毒或木马2.1.8 能够查看TCP/UDP的端口使用情况；可以根据端口结束程序；可以关闭正在使用指定的端口的连接；2.1.1查看系统基本信息的方法2.1.2获取系统网络配置信息2.1.3查看系统正在运行进程的方法2.1.4监听端口和对应的当前

19、连接方法2.1.5打开TCP/IP端口的所有进程方法2.1.6对已获取的证据制作MD5的Hash码方法2.1.7掌握UNIX/Linux环境中易失性证据的获取方法2.2手机取证分析2.2.1 能够对手机文件的创建时间、修改时间、访问时间，邮件的发送时间、接收时间、保存时间，文件传输的创建时间、接收时间、完成时间等时间属性进行时间线分析2.2.2 能够对即时信息/聊天记录进行提取与鉴定2.2.3 能够提取手机系统数据2.2.4能够提取手机应用数据进行在线仿真，通过仿真模拟器查看手机QQ、微信、新浪微博等数据，进行调查分析并截图作为取证报告辅助证据，且不破坏原有手机数据的完整性及有效性。2.2.5

20、能够在手机提取镜像后，通过手机仿真系统，可以加载镜像进行离线仿真。通过仿真模拟器上查看手机QQ、微信、新浪微博等数据，进行调查分析并截图取证。2.2.6 能够对iPhone免越狱提权取证2.2.7 能够对Android设备免ROOT数据提取提权取证2.2.8 能够对Android、iOS密码破解2.2.9 能够对Android设备免拆机刷机，ADB直连提权提取2.2.10 能够对即时信息/聊天记录进行提取与鉴定2.2.1了解SQLite数据库的结构2.2.2 掌握SQLite分析中常用的SQL语句2.2.3 掌握SQLite数据库文件结构的恢复2.2.4 掌握SQLite 日志的数据恢复方法2

21、.2.5获取手机系统信息相关指令的方法2.2.6常用的adb指令集2.2.7常见APP的用户数据文件保存路径2.3网络取证分析2.3.1 能够对域名、服务器IP、端口、服务器软件种类和版本等各种网站运行状态信息进行固定2.3.2能够对系统概况、系统磁盘使用情况、内存使用情况、用户列表、进程列表、系统启动项、IP地址等提取分析2.3.3能够对系统DNS 缓存中所访问过的域名、所对应的 IP 地址及该 IP 归属地等信息提取分析2.3.4 能够对登录日志、文件访问日志、历史命令日志、系统日志、应用日志、安全日志、内核日志、浏览器历史等提取分析2.3.5能够对系统所启用的网络端口、所使用的协议类型、

22、远程服务器 IP、远程连接IP 地址归属地、端口及所对应的进程等信息提取分析2.3.6 能够对远程主机当前网络通信状态，进行数据包的定制获取，并对数据包进行分析；2.3.7 能够获取远程服务器文件系统、目录等。2.3.1了解网络取证的定义和特点2.3.2了解网络监控的程序2.3.3了解网络取证的数据来源2.3.4掌握云存储取证的基本方法2.3.5掌握利用网络取证分析工具获取和分析网络数据包的基本方法2.3.6掌握利用蜜罐技术进行网络取证的基本方法2.4 APP溯源取证分析2.4.1能够对APK文件主函数名、签名证书MD5、签名算法、签名公钥、签名类型、证书版本、证书使用者、证书颁发者等信息提取

23、分析2.4.2 支持对APK 进行网络数据包提取分析2.4.3 能够提取 APK 文件的基本信息、详细信息，并分析该 APK 申请的所有权限2.4.4 能够通过动态监控对 APK 获取用户信息、操作手机、网络信息等内容进行全程监控2.4.1 Android编译过程2.4.2 Android编译基本语法规则2.4.3 掌握 APK文件结构2.4.4 Apk反编译流程2.4.5 使用jd-gui查看jar包中的Java代码的方法2.4.6 查看apk请求的权限2.5工控系统取证分析2.5.1 能够直接对PLC控制器进行数据提取并分析2.5.2 能够对工控系统进行端口信息进行提取分析2.5.3 能够

24、远程获取PLC数据2.5.1 PLC的构成2.5.2 PLC的 I/O模块2.5.3 PLC的CPU构成2.5.4 内部采集PLC的数据3数据恢复3.1 硬件物理故障数据恢复3.1.1 掌握盘片的清洗方法3.1.2 掌握硬盘电机和盘体的更换方法3.1.3硬盘电机更换后敲盘的数据恢复方案 3.1.4掌握固态硬盘、机械硬盘的固件修复3.1.5 掌握硬盘电路板更换注意事项3.1.1 常见硬盘的内部结构3.1.2 硬盘工作的原理3.1.3 更换硬盘磁头和盘片的注意事项3.1.4硬盘安全模式的设置3.1.5硬盘的 ROM 替换方法3.2逻辑故障数据恢复3.2.1 能够提取数据，制做映像，克隆硬盘3.2.

25、2 能够使用数据恢复软件对FAT32、NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1分区丢失的数据恢复3.2.3 能够使用数据恢复软件对FAT32、NTFS、EXFAT、HFS+、EXT3、 EXT4、UFS1分区数据被删除的恢复3.2.4 能够使用数据恢复软件对FAT32、NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1分区数据误格式化的恢复3.2.5 能够使用数据恢复软件对FAT32、NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1分区数据误GHOST的恢复3.2.6 能够对 MD5和SHA两种模式Hash效验计算3.2.7 能够虚拟重建翻译器后提取数

26、据3.2.1 理解FAT32文件系统的整体结构与DBR的结构3.2.2 理解ExFAT文件系统的整体结构与DBR的结构3.2.3 掌握手工提取ExFAT文件系统中数据的方法3.2.4理解NTFS、EXT3、EXT4、HFS+、UFS1文件系统的整体结构3.3数据库数据恢复3.3.1 能够对Mysql、SQLServer数据库进行恢复3.3.2 对数据库文件损坏、数据库被删除，能够通文件恢复进行数据库的重组与解析3.3.1数据库管理系统的概念3.3.2常见的数据库管理系统3.3.3数据库的重组3.4文件修复3.4.1 能够对损坏的JPG图像文件进行修复3.4.2 能够对损坏的PNG图像文件进行修

27、复3.4.3 能够对损坏的BMP图像文件进行修复3.4.4 能够对损坏的符合文档文件进行修复3.4.5 能够对损坏的RTF文档进行修复3.4.1 理解JPG图像文件数据结构3.4.2 理解PNG图像文件数据结构3.4.3 理解BMP图像文件数据结构3.4.4 掌握复合文档文件头结构3.4.5 掌握RTF文档结构3.5 磁盘阵列数据恢复3.5.1 能够判断RAID 通常出现的故障可能性3.5.2 能够掌握常见的 RAID 数据丢失情形3.5.3 常见 RAID 级别的恢复方法3.5.4 RAID 0 的数据恢复3.5.5 RAID 1 的数据恢复3.5.6 RAID 5 的数据恢复3.5.1 R

28、AID 简介及分类3.5.2 RAID 磁盘阵列组合原理3.5.3 RAID 01 与 RAID 103.5.4 RAID 503.5.5 常见的 RAID 故障类型3.5.6 RAID 数据恢复恢复技术原理3.5.7. RAID 类型的判断2.3 高级职业模块培训模块技能培训内容理论知识培训内容1.取证环境部署1.1电子数据取证技术规范1.1.1 电子数据取证的操作流程1.1.2 电子数据取证的基本原则1.1.3 电子数据取证通用程序1.1.4 电子数据取证通用要求1.1.1 电子数据取证名词术语1.1.2 电子数据鉴定基本原则1.1.3 案件受理流程1.1.4 档案管理要求1.1.5 电子

29、数据存储介质写保护设备要求1.1.6 电子数据存储介质复制工具要求1.2 工具使用1.2.1 磁盘文件取证复制工具的使用1.2.2 内存文件取证工具的使用1.2.3 取证分析工具的使用1.2.4 数据恢复工具的使用1.2.1 磁盘文件取证复制工具FTK imager的使用1.2.2 内存文件取证分析工具Volatility的使用1.2.3 网络取证分析工具Xplico的使用1.2.4 取证分析工具X-Ways Forensics、WindowsSCOPE的使用1.2.5 数据恢复工具R-Studio的使用1.3 制作证据镜像1.3.1 能够制作DD、E01、smart、vmdk、gho、ner

30、o镜像文件1.3.2 能够远程克隆硬盘或分区，并能制作成镜像文件 1.3.1 磁盘镜像制作步骤1.3.2 证据镜像格式类型1.3.3 NETCAT远程克隆硬盘1.4 系统仿真1.4.1 能够通过虚拟机技术，对装有Windows、MacOS、Linux等多种操作系统硬盘和镜像文件进行无痕仿真启动1.4.2 能够对网络驱动器中的镜像仿真1.4.3能够对各种物理硬盘，以及DD、E01等格式的磁盘镜像进行仿真1.4.4 能够对QCOW/QCOW2/QCOW3、VHD、VHDX，RAW，ZVHD2等格式的云服务器镜像进行直接仿真1.4.1 系统仿真技术定义1.4.2 系统仿真技术的应用1.4.3 系统仿

31、真名词术语1.4.4 系统仿真对电子数据取证的意义2.电子数据取证2.1计算机取证分析2.1.1 能够制作证据镜像，转换镜像文件格式2.1.2 能够校验证据一致性 2.1.3 能够备份和提取证据文件（如隐藏文件，受保护系统文件）2.1.4 能够制作哈希库，扫描EFS加密数据，2.1.5 能够提取内存数据，使部分关键数字证据只存在于物理内存或暂存于页面交换文件中2.1.6 能够对计算机文件的创建时间、修改时间、访问时间，邮件的发送时间、接收时间、保存时间，文件传输的创建时间、接收时间、完成时间等时间属性进行时间线分析2.1.7 能够对当前运行操作系统下的历史命令记录、防火墙规则、登录日志、网络连

32、接、网卡信息、系统信息、进程信息、用户信息进行快速提取并固定2.1.8 能够对系统概况、系统磁盘使用情况、内存使用情况、用户列表、进程列表、系统启动项、IP地址等信息提取并固定2.1.9 能够使用十六进制编辑器解析和编辑一切可视的二进制文件2.1.10 能够判断系统故障，并能识别恶意软件、病毒或木马2.1.11 能够查看TCP/UDP的端口使用情况；可以根据端口结束程序；可以关闭正在使用指定的端口的连接； 2.1.1 查看系统基本信息的方法2.1.2 获取系统网络配置信息2.1.3 查看系统正在运行进程的方法2.1.4 监听端口和对应的当前连接方法2.1.5 打开TCP/IP端口的所有进程方法

33、2.1.6 对已获取的证据制作MD5的Hash码方法2.1.7 掌握UNIX/Linux环境中易失性证据的获取方法2.1.8 掌握UNIX/Linux环境中重要文件目录和日志调查方法2.1.9 掌握UNIX/Linux系统磁盘结构和引导过程2.1.10 UNIX/Linux的网络连接信息获取方法2.1.11 掌握数据隐藏的方法和相应的取证分析方法2.2手机取证分析2.2.1能够对手机文件的创建时间、修改时间、访问时间，邮件的发送时间、接收时间、保存时间，文件传输的创建时间、接收时间、完成时间等时间属性进行时间线分析2.2.2 能够对iPhone免越狱提权取证2.2.3 能够对Android设备

34、免ROOT数据提取提权取证2.2.4 能够对Android、iOS密码破解2.2.5 能够对Android设备免拆机刷机，ADB直连提权提取2.2.6 能够对即时信息/聊天记录进行提取与鉴定2.2.7 能够提取手机系统数据2.2.8 能够模拟手机运行环境，运行并登录手机应用程序，进行数据浏览和分析。2.2.9 能够在仿真过程不破坏手机环境及用户数据的前提下，可实时抓取应用程序的通讯数据，分析应用程序的行为特征。2.2.10 能够提取手机应用数据进行在线仿真，通过仿真模拟器查看手机QQ、微信、新浪微博等数据，进行调查分析并截图作为取证报告辅助证据，且不破坏原有手机数据的完整性及有效性。2.2.1

35、1 能够在手机提取镜像后，通过手机仿真系统，可以加载镜像进行离线仿真。通过仿真模拟器上查看手机QQ、微信、新浪微博等数据，进行调查分析并截图取证。2.2.12 能够在联网情况下，手机仿真系统可以实时通讯抓包，生成的抓包文件可以用第三方Wireshark软件进行数据包分析，并对手机木马、恶意软件分析及安全调查。2.2.1 了解SQLite数据库的结构2.2.2 掌握SQLite分析中常用的SQL语句2.2.3 掌握SQLite数据库文件结构的恢复2.2.4 掌握SQLite 日志的数据恢复方法2.2.5 获取手机系统信息相关指令的方法2.2.6 常用的adb指令集2.2.7 常见APP的用户数据

36、文件保存路径2.2.8 SIM卡信息获取方法2.3网络取证分析2.3.1 能够对域名、服务器IP、端口、服务器软件种类和版本等各种网站运行状态信息进行固定2.3.2能够自定义脚本提取服务器数据2.3.3 能够对网络数据包抓包分析2.3.4 能够对防火墙规则、DNS缓存、网卡列表、网络连接、网络服务、ARP缓存等提取分析2.3.5 能够对系统概况、系统磁盘使用情况、内存使用情况、用户列表、进程列表、系统启动项、IP地址等提取分析2.3.6 能够对系统DNS 缓存中所访问过的域名、所对应的 IP 地址及该 IP 归属地等信息提取分析2.3.7 能够对登录日志、文件访问日志、历史命令日志、系统日志、

37、应用日志、安全日志、内核日志、浏览器历史等提取分析2.3.8 能够对系统所启用的网络端口、所使用的协议类型、远程服务器 IP、远程连接IP 地址归属地、端口及所对应的进程等信息提取分析2.3.9 能够对远程主机当前网络通信状态，进行数据包的定制获取，并对数据包进行分析；2.3.10 能够获取远程服务器文件系统、目录等。2.3.11 能够将远程服务器网络服务映射到本地空闲端口；2.3.12 能够对服务器逻辑分区直接挂载回本地，并对硬盘或者分区进行分析；2.3.13 能够直接连接远程主机所使用的数据库，查看远程数据库数据表基本情况2.3.14能够对数据库进行备份导出，可对关系型数据库和非关系型数据

38、库进行管理；2.3.1了解网络取证的定义和特点2.3.2了解网络监控的程序2.3.3了解网络取证的数据来源2.3.4掌握云存储取证的基本方法2.3.5 掌握利用网络取证分析工具获取和分析网络数据包的基本方法2.3.6 掌握利用蜜罐技术进行网络取证的基本方法2.3.7查看远程数据库数据表基本信息的方法2.3.8 能对提取的日志信息进行分析2.4 APP溯源取证分析2.4.1能够对APK文件主函数名、签名证书MD5、签名算法、签名公钥、签名类型、证书版本、证书使用者、证书颁发者等信息分析2.4.2 能够对APK反编译，提供反编译代码分析工具2.4.3 支持对APK 进行网络数据包抓包分析2.4.4

39、 能够对APP静态权限分析2.4.5 能够对APP应用名称、应用包名、文件哈希、文件大小等信息分析2.4.6能够分析 APK 文件的基本信息、详细信息，并分析该 APK 申请的所有权限2.4.7 能够通过动态监控对 APK 获取用户信息、操作手机、网络信息等内容进行全程监控2.4.8 能够对APK 进行网络数据包抓包分析，识别 APK 加壳，并能对其脱壳处理2.4.9 能够进行站点分析，包含域名解析记录、注册信息、备案信息、 站点访问记录、站点访问统计、URL爬取、子站点分析、 IP反查域名2.4.1 Android编译过程2.4.2 Android编译基本语法规则2.4.3 掌握 APK文件

40、结构2.4.4 掌握smali数据类型2.4.5 掌握Dalvik字节码2.4.6 使用apktool反编译APK获得图片与XML资源的方法2.4.7 使用dex2jar将classes.dex转换成jar文件的方法2.5工控系统取证分析2.5.1 能够直接对PLC控制器进行数据提取并分析2.5.2 能够对工控软件脆弱性进行分析，比如错误输入验证、密码管理、越权访问、不适当的认证、系统配置等信息2.5.3能够分析工控开发软件等工控产品中留有后门、木马信息2.5.4能够对工控系统进行端口信息进行分析2.5.5能够远程获取PLC数据2.5.6 能够实现PLC远程监控，PLC远程编程，PLC远程调试

41、，PLC远程上下载，PLC远程控制，PLC数据采集，PLC远程通讯2.5.7 能够实现工业现场设备远程控制2.5.1 PLC的构成2.5.2 PLC的 I/O模块2.5.3 PLC的CPU构成2.5.4内部采集PLC的数据2.5.5外部采集PLC的数据2.5.6 远程采集PLC的数据3数据恢复3.1 硬件物理故障数据恢复3.1.1 掌握硬盘多盘片的更换方法3.1.2 掌握盘片的清洗方法3.1.3 掌握硬盘电机和盘体的更换方法3.1.4 硬盘电机更换后敲盘的数据恢复方案 3.1.5 使用专用的磁头卡具拆装磁头组件流程3.1.6 硬盘盘片划伤的数据恢复方案3.1.7 能够对FLASH芯片数据直接读

42、取3.1.8 掌握固态硬盘、机械硬盘的固件修复3.1.9 掌握硬盘电路板维修方法3.1.1 常见硬盘的内部结构3.1.2 硬盘工作的原理3.1.3 更换硬盘磁头和盘片的注意事项3.1.4 硬盘安全模式的设置3.1.5 硬盘的 ROM 替换方法3.1.6 硬盘 NV-RAM 的恢复方法3.1.7 硬盘的翻译器恢复方法3.1.8 硬盘 DMCS 模块的恢复方法3.1.9 硬盘 P-LIST 模块的恢复方法3.2逻辑故障数据恢复3.2.1 能够提取数据，制做映像，克隆硬盘3.2.2 能够对FAT32、NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1分区丢失的数据恢复3.2.3 能够对FAT32、NTFS、EXFAT、HFS+、EXT3、 EXT4、UFS1分区数据被删除的恢复3.2.4 能够对FAT32、NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1分区数据误格式化的恢复3.2.5 能够对FAT32、NTFS、EXFAT