SCFE – Sec4US Certified Forensics Expert – Exam Guide

A SCFE é uma certificação 100% prática focada em perícia forense computacional. Ao passar na certificação, o profissional comprova conhecimentos avançados em perícia forense computacional em Sistemas Operacionais Microsoft Windows e Linux.

Para a obtenção da SCFE, você será testado referente aos seguintes assuntos:

  • Análise de Memória
  • Análise Volátil e Não-Volátil
  • Análise de Disco
  • Identificação e Resolução de Técnicas Anti-Forenses (Quebra de Senhas, File Carving, Esteganografia)
  • Análise de Chaves de Registro Windows
  • Análise de Logs
  • Análise de Metadados
  • Análise de Mactimes
  • Análise de Containers Criptográficos
  • Análise de evidências em Navegadores de Internet
  • Elaboração de Laudo Pericial

Processo de certificação

Introdução

Este guia explicará o passo a passo para a realização do exame e obtenção da certificação Sec4US Certified Forensics Expert (SCFE). A primeira sessão explicará de forma geral o processo de compra, marcação e realização do exame, a sessão 2 descreve de forma mais detalhada o foco do exame bem como os procedimentos e cuidados durante, e a sessão 3 especifica as instruções após o exame.

 

Você tem 120 horas para completar o exame, elaborar o relatório ou laudo pericial conforme requisitos e envio. Isso significa que se o exame iniciar as 08:00 horário de Brasília, seu exame finalizará as 08:00 cinco dias depois com o envio do relatório.

 

O procedimento de envio do relatório ou laudo pericial será explicado mais a frente neste documento.

Sessão 1: Processo de compra e agendamento do exame

 

  1. Compra do voucher do exame:
    1. A compra do voucher de certificação será por meio da URL https://sec4us.lojaintegrada.com.br/certificacao-17356603. Após a compra você receberá no seu e-mail, um link para o portal onde poderá dar início ao seu exame.
  2. Realização do exame
    1. Após a aquisição do voucher você poderá iniciar o exame a qualquer momento;
    2. O voucher regular tem validade de 180 dias a partir do momento de sua compra.
    3. Todo o processo após a compra do voucher ocorre dentro do nosso portal https://portal.sec4us.com.br/products/
  3. Assinatura do contrato de serviço (Master Services Agreement ou “MSA”)
    1. O MSA é assinado digitalmente
    2. Após a assinatura do MSA nosso time interno fará a validação do seu documento de identificação anexado ao mesmo. Essa validação pode demorar até 7 dias úteis.
    3. Este processo pode ser realizado a qualquer momento, mesmo antes do prazo em que você deseja realizar o exame.
  4. Realize o seu exame
    1. Após o processo de aprovação do MSA, você poderá dar início ao “pré-download”
    2. O pré-download é o período de no máximo 24 horas antes do início do seu exame, no qual serão disponibilizados a você o download de parte dos arquivos a serem utilizados no decorrer do exame. Estes arquivos estarão criptografados com senha, e a senha será disponibilizada somente após o início do exame.
    3. Ao clicar no botão “iniciar pré-download” as evidências serão liberadas para download. Neste periodo de pre-download do exame, saiba que as evidências possuem muitos bytes (em torno de 20GB), portanto tenha um link de internet bom para a realização do download.
    4. O período de pré-download tem duração máxima de 24 horas, e após 24 horas o exame será automaticamente iniciado, de forma que você só deve realizar o pré-download quando realmente for realizar o exame.
    5. Ao finalizar as 24 horas de pré-download ou após clicar no botão “iniciar o exame” você terá acesso a todas as informações de engajamento necessárias para a realização dele, bem como o laudo pericial com os requisitos a serem analisados.
    6. Uma vez o exame iniciado o pré-download e/ou exame não poderá ser pausado ou cancelado;
  5. Envio do relatório ou laudo pericial
    1. O envio do relatório pode ser realizado a qualquer momento após o início do exame e antes do término das 120 horas, porém ao enviar o relatório no formato PDF o exame é automaticamente finalizado, fazendo com que todos os recursos provisionados para o exame sejam automaticamente finalizados.
    2. Maiores detalhes quanto ao formato do relatório e forma de envio serão detalhados abaixo neste documento.
  6. Resultado do exame
    1. Após o envio do relatório nosso time de revisores retornará com o resultado em até 30 dias úteis;
    2. O resultado indica somente se foi aprovado ou não. Não haverá qualquer outro retorno como pontos alcançados, falhas, etc.
    3. A aprovação ficará condicionada com 85% ou mais dos quesitos do laudo pericial respondidos corretamente e documentados conforme metodologia de perícia forense computacional.
    4. Caso você não seja aprovado em sua primeira tentativa, terá mais uma chance de realizar o exame “retake” de forma gratuita. Porém para poder realizar o “retake” gratuito é obrigatório o envio do relatório na primeira tentativa com 50% dos quesitos respondidos de maneira correta.
    5. O candidato que não enviar o relatório em sua primeira tentativa ou o relatório com menos de 50% dos quesitos respondidos é automaticamente considerado como desistente, não podendo realizar uma nova tentativa de forma gratuita.

 

Sessão 2: Realização do exame

Escopo do exame

Este exame consiste no recebimento e download de um modelo de laudo pericial contendo os quesitos a serem respondidos bem como imagens das evidências que deverão serem analisadas e correlacionadas utilizando-se das melhores técnicas e metodologia em perícia forense computacional.

 

O equipamento forense, bem como os softwares a serem utilizados pelo candidato são de sua livre escolha e propriedade, desde que as ferramentas selecionadas sejam open-source ou gratuitas, portanto, é imprescindível que o candidato já esteja com tudo instalado por exemplo: IPED, autopsy e demais ferramentas que julgar necessário para o início do exame.

 

Restrição de ferramentas

Para este exame serão aceitas somente ferramentas de uso público gratuitas e/ou open-source. As ferramentas licencias e pagas são vetadas neste exame, mesmo que você e/ou sua empresa tenha a ferramenta devidamente licenciada.

 

Requisito de documentação

Você deverá responder os requisitos apresentando passo a passo da análise das evidências encontradas, incluindo comandos, problemas nos comandos, resultados de tela e captura de tela. O laudo pericial deverá estar em formato PDF sem senha. Sua documentação deve ser suficiente para que outra pessoa possa reproduzir o passo a passo obtendo o mesmo resultado. A falha na documentação ou o não fornecimento de todas as informações necessárias para a reprodução do passo a passo, bem como o fornecimento de respostas incorretas, poderá implicar na não contabilização dos pontos propostos para o desafio.

 

Uma vez o seu relatório enviado, caso constate qualquer problema, ausência de captura de tela ou qualquer outra informação, não será possível o reenvio do mesmo, e nem será solicitado pelo nosso time de revisores.

 

Após o início do exame acionado no portal será disponibilizado a você um documento do Microsoft Word com o laudo pericial base, para o preenchimento das informações dos requisitos. A utilização deste template não é obrigatório, porém recomendado.

 

Painel do exame

Após iniciar o seu exame, no mesmo painel você terá acesso para:

  1. Visualizar os desafios propostos (modelo do laudo pericial)
  2. Realizar o download dos arquivos necessários para a execução dos desafios
  3. Submeter o relatório final do exame

 

Problemas com a internet

O ambiente do exame é exclusivo e dedicado para você, de forma que não haverá nenhuma interferência externa no ambiente. É esperado que você tenha um plano de contingência em caso de qualquer problema fora do nosso controle (como ter uma internet backup caso a principal ofereça problema).

Note que este exame exige o download de diversos arquivos totalizando mais ou menos 20BG de arquivo, sendo que para o download são disponibilizadas 24 horas antes do início do exame (este período é chamado de pré-download), então se certifique que sua internet tenha capacidade de realizar os downloads em um tempo aceitável para a realização do exame.

Nossos exames são de longa duração, sendo assim é esperado que você realize paradas para descanso, dormir, se alimentar etc.

Caso tenha qualquer outro problema, por favor nos envie um e-mail com o seu SCID para “certificacoes AT sec4us DOT com DOT br” imediatamente. Lembre-se de incluir todos os detalhes do problema, como: capturas de tela, logs erros, etc.

Note que só realizaremos a extensão do tempo do exame caso seja constatado um problema em nossa estrutura e sob nosso total controle.

 

Assinatura e aprovação do (Master Services Agreement ou “MSA”)

Esta subseção fala do procedimento de monitoramento e controle de qualidade do exame, por favor leia com atenção e tenha certeza de que todos os itens ficaram claros.

Em qualquer momento antes da realização do exame (não tendo limitação de datas) você deve realizar a assinatura do MSA diretamente em nosso portal do exame (https://portal.sec4us.com.br).

No momento da assinatura do MSA você será solicitado para anexar um documento de identificação com foto (RG, CNH, Passaporte, Registro de conselho/classe). Não são aceitos crachás de empresas e documentos não oficiais.

Após a assinatura do MSA nosso time interno realizará a validação do MSA e documento de identificação anexado. Este processo de validação pode demorar até 7 dias úteis, desta forma se programe para realizá-lo antes da data em que deseja realizar o seu exame.

Não existe uma limitação/exigência de tempo mínimo e máximo para a assinatura do MSA, sendo que o mesmo pode ser realizado a qualquer momento dentro do período de validade do voucher do exame. Desta forma recomendamos assiná-lo assim que realizar a aquisição do voucher, pois desta forma você terá liberado para iniciar o seu exame a qualquer momento desejado.

 

Sessão 3: Instruções de envio

Checklist de envio

  • O seu relatório do exame deve ser em formato PDF sem senha
  • Você deve usar o seguinte formato para o nome do arquivo PDF “SCFE-SC-XXXXX-Laudo-Pericial.pdf”, onde SC-XXXXX é o seu SCID
  • Os arquivos PDF devem estar armazenados em um único arquivo .7z (Não deve ser colocado nenhuma senha)
  • O arquivo zip deve ser nomeado conforme o formato “SCFE-SC-XXXXX-Laudo-Pericial.7z”, onde SC-XXXXX é o seu SCID
  • Você deve se certificar que o seu arquivo .7z não tenha mais de 300MB e quando extraído os arquivos não tenham juntos mais de 400MB.
  • Você deve enviar o arquivo .7z por meio do portal do exame.

 

Nota: O nome do arquivo não é sensível a maiúsculo e minúsculo (case insensitive), de forma que você deve enviar seguindo exatamente as estruturas de nome acima. Caso haja qualquer divergência nosso sistema não aceitará o envio do arquivo.

 

Arquivo do relatório

O seu laudo pericial deve ser enviado em formato PDF compactado em um arquivo 7z. Antes de enviar o seu laudo verifique se o seu arquivo em formato PDF está correto e não apresenta nenhum erro.

O arquivo deve ser nomeado conforme o formato “SCFE-SC-XXXXX-Laudo-Pericial.pdf”, onde SC-XXXXX é o seu SCID

 

Arquivo final

O arquivo .7z contendo o arquivo PDF do Laudo pericial não pode ser compactado usando senha pois nosso sistema não irá aceitar arquivos compactados com senha.

O arquivo PDF SCFE-SC-XXXXX-Laudo-Pericial.pdf deve ser compactado em um único arquivo SFCE-DC-XXXXX- Laudo-Pericial.7z conforme abaixo

 

root@sec4us:~# 7z a SCFE-SC-XXXXX-Laudo-Pericial.7z SCFE-SC-XXXXX-Laudo-Pericial.pdf
7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=en_US.UTF-8,Utf16=on,HugeFiles=on,64 bits)
Scanning the drive:

1 files, 46 bytes (1 KiB)

Creating archive: SCFE-SC-XXXXX-Laudo-Pericial.7z

Items to compress: 1

Files read from disk: 1

Everything is Ok

 

Envio do arquivo

O arquivo .7z deve ser enviado dentro das 120 horas do exame, não havendo nenhum período adicional para elaboração e envio dos arquivos.

O tamanho limite dos arquivos descompactados é de 400MB e compactados é de 300MB, caso um dos tamanhos exceda estes limites o sistema não permitirá o envio do relatório.

Após o envio do seu arquivo será apresentado a você o hash MD5 do arquivo .7z juntamente com o botão de “Confirmar e enviar o relatório”. Se certifique de verificar se o hash é exatamente o mesmo que o seu arquivo local. Caso haja alguma diferença, clique em “Selecionar um novo arquivo” e faça o upload do arquivo novamente.

root@sec4us:~# md5sum SCFE-SC-XXXXX-Laudo-Pericial.7z
9eef4b3285e7b473b05dcfd597837fd4 SCFE-SC-XXXXX-Laudo-Pericial.7z

 

Caso nenhum arquivo seja enviado no prazo de 120 horas do exame, o candidato é automaticamente considerado como desistente, de forma que não terá o direito a realização de uma nova tentativa gratuita. Sendo é esperado que o candidato envie um relatório mesmo que não tenha completado todos os desafios propostos desde que tenha 50% dos quesitos respondidos.

 

Aviso de recebimento

Uma vez completado o envio do seu relatório, você receberá um e-mail de confirmação de recebimento. Caso você não receba este e-mail verifique de você realmente clicou no botão “Confirmar e enviar o relatório” no painel de envio após a verificação do hash MD5. Adicionalmente recomendamos a verificação em sua caixa de SPAM ou ferramenta de SPAM corporativa (caso exista).

 

Resultado

Você receberá um resultado do exame (aprovado ou reprovado) em até 30 dias úteis após o envio da documentação. Note que não enviaremos nenhuma pontuação ou solução dos desafios.

 

Sugestão de Estudo explorado no treinamento Digital Forensics como forma de preparação para o exame de certificação SCFE.

Módulo 1 – Fundamentos

  • Evidência Digital
  • Volatilidade
  • Cadeia de Custódia
  • Fases da Perícia Forense Computacional
  • Legislação Brasileira

Módulo 2 – Coletas

  • Coleta Volátil
  • Coleta Dump de Memória Windows e Linux
  • Scripts Automatizados de Coleta Volátil
  • Sanitização de Mídias de Destino
  • Bloqueio de Escrita
  • Coleta não Volátil

Módulo 3 – Análise das Evidências

  • Análise de Dump de Memória Windows
  • Análise de Dump de Memória Linux
  • Análise das Coletas Volatéis
  • Análise da Cópia Bit-a-Bit do disco
  • Análise de Sistema de Arquivos

Módulo 4 – Técnicas Anti-Forenses

  • Quebra de Senhas em Arquivos PDF, compactados e Office.
  • Análise e Recuperação de Arquivos Apagados (File Carving)
  • Alternate Data String (ADS)
  • Esteganografia

Módulo 5 – Análises Específicas

  • Análise de MACTIMES
  • Análise de Metadados
  • Análise de Estática e Dinâmica de Malware em Arquivos PDF
  • Análise de Email
  • Análise de Logs dos Sistemas Operacionais (evtx, /var/log)
  • Análise de Logs de Servidores Web

Módulo 6 – Ferramentas Forense

  • IPED
  • Autopsy
  • Ferramentas Nirsoft
  • Ferramentas sysinternals

Módulo 7 – Laudo Pericial

  • Técnica de Elaboração de Laudo Pericial