Formålet med kurset er at give en praktisk forståelse af computer sikkerhedsundersøgelser. Computer Sikkerhedsundersøgelser undersøger digitale medier på en efterforskningsmæssigt forsvarlig måde, for at identificere, bevare, retablere, analysere og præsentere fakta og begrundede meninger om digitale informationer på de undersøgte medier. En studerende, der fuldt ud har opfyldt kursets mål, vil kunne:

• Definere en sikkerhedsundersøgelsesplan
• Identificere typiske steder hvor digitalt bevismateriale kan findes
• Bevare autenciteten af bevismateriale, så det kan benyttes i en retsag
• Retablere bevismateriale fra forskellige typer af computere og digitale medier (f.eks. filer og "memory")
• Analysere bevismateriale for at etablere en tidslinie og tilskrive hændelser til personer, systemer eller processer
• Etablere øjebliksoverblik i igangværende sikkerhedshændelser
• Gennemføre en efterforskning af et kompromiteret delsystem
• Præsentere resultatet af en efterforskning på en måde der kan bruges i en retsal

Kurset forkuserer på de tekniske vanskeligheder ved at identificere og retablere information fra computer systemer, såsom pc'er, servere og smartphones. Hyppigt anvendte teknikker til at analysere data og etablere et øjebliksoverblik gennemgås sammen med teknikker til at bevare data fundet ved undersøgelse af et kompromiteret system, på en sådan måde at de kan bruges som bevismateriale i en retsag. Endeligt behandles hvordan resultater af en undersøgelse skal præsenteres så de kan benyttes i en retsal.
Pensum omfatter:
- Normalt anvendte efterforskningsværktøjer og teknikker
- Normale formater for data og metadata (OS strukturer, filsystemer, etc.)
- Efterforsningsmæssgt forsvarlige metoder til at udtrække data fra "memory" og permanent lager
- Kerneelementer i retsprocessen og korrekt opførsel for ekspertvidner 01. maj, 2018