Wierk - Wydział Informatyki, Elektroniczne Ramy Kwalifikacji

Karta Przedmiotu

Politechnika Białostocka									Wydział Informatyki
Kierunek studiów		Cyberbezpieczeństwo							Poziom i forma studiów				pierwszego stopnia stacjonarne
Grupa przedmiotów / specjalność									Profil kształcenia				ogólnoakademicki
Nazwa przedmiotu		Informatyka śledcza							Kod przedmiotu				CYB1ISL
Nazwa przedmiotu		Informatyka śledcza							Rodzaj zajęć				obowiązkowy
Formy zajęć i liczba godzin		W	Ć	L	P	Ps	T	S	Semestr				6
Formy zajęć i liczba godzin		30				30			Punkty ECTS				4
Program obowiązuje od											2026/2027
Przedmioty wprowadzające		Administracja systemami Linux II (CYB1LIN2), Administracja systemami Windows II (CYB1WIN2), Architektura komputerów i systemy operacyjne (CYB1SOP), Architektury systemów informatycznych (CYB1WMB),
Cele przedmiotu		Przekazanie wiedzy z zakresu zasad, metodyk i procedur informatyki śledczej, z uwzględnieniem wymagań dotyczących integralności materiału dowodowego i łańcucha dowodowego. Rozwój praktycznych umiejętności pozyskiwania, zabezpieczania i analizy cyfrowego materiału dowodowego z urządzeń końcowych, nośników danych i systemów operacyjnych. Kształtowanie postawy odpowiedzialności prawnej i etycznej w pracy z danymi cyfrowymi w kontekście postępowań wewnętrznych i współpracy z organami ścigania. Odniesienia do frameworka edukacyjnego mikrokompetencji SFIA: Cyfrowa kryminalistyka DGFS – poziom 3 Cyberbezpieczeństwo SCTY – poziom 3
Ramowe treści programowe		Podstawy prawne i proceduralne informatyki śledczej oraz wymagania dotyczące integralności i łańcucha dowodowego. Metodyki prowadzenia dochodzeń cyfrowych, zasady zabezpieczania śladów i nośników dowodowych. Techniki akwizycji i analizy danych z dysków, pamięci operacyjnej, urządzeń mobilnych i systemów chmurowych. Analiza artefaktów systemu operacyjnego Windows i Linux. Rekonstrukcja chronologii zdarzeń i odtwarzanie przebiegu incydentu. Standardy dokumentowania i raportowania w informatyce śledczej.
Inne informacje o przedmiocie		przedmiot ma związek z prowadzoną na Uczelni działalnością naukową
Inne informacje o przedmiocie		przedmiot kształtuje umiejętności praktyczne
Wyliczenie:		Nakład pracy studenta związany z:											Godzin ogółem	W tym kontaktowych	W tym praktycznych
		udziałem w wykładach											30	30
		udziałem w innych formach zajęć											30	30	30
		przygotowaniem do bieżących zajęć											25		25
		przygotowaniem do zaliczenia wykładu											15
										Razem godzin:			100	60	55
										Razem punktów ECTS:			4	2.4	2.2
Zakładane kierunkowe efekty uczenia się													Wiedza	Umiejętności	Kompetencje społeczne
													CYB1_W07	CYB1_U10	H1_K01
													CYB1_W08	CYB1_U16	CYB1_K02
													CYB1_W13	CYB1_U19
													CYB1_W15
Cele i treści ramowe sformułował(a)			dr inż. Andrzej Chmielewski										Data:		08/04/2026
Realizacja w roku akademickim								2028/2029
Treści programowe
		Wykład
		1.	Wprowadzenie do informatyki śledczej: definicje, zakres, cele, relacja do incident response i bezpieczeństwa IT
		2.	Aspekty prawne dochodzeń cyfrowych: podstawy prawne w Polsce i UE, dopuszczalność dowodów elektronicznych
		3.	Łańcuch dowodowy: zasady, dokumentacja, znaczenie dla postępowań prawnych
		4.	Metodyki informatyki śledczej: ACPO, RFC 3227, NIST SP 800-86 - przegląd i zastosowanie
		5.	Akwizycja nośników danych: typy obrazów forensycznych, narzędzia, weryfikacja integralności (hashing)
		6.	Analiza systemów plików: struktury danych, metadane, odtwarzanie danych
		7.	Artefakty systemu Windows: rejestr, logi zdarzeń, pliki prefetch, shellbags, LNK files, MFT
		8.	Artefakty systemu Linux: /var/log, bash_history, crontab, suid files, analiza czasów dostępu.
		9.	Analiza pamięci operacyjnej: pozyskiwanie zrzutu pamięci, analiza procesów i artefaktów sieciowych
		10.	Analiza aktywności sieciowej: logi firewalla, PCAP, NetFlow - rekonstrukcja komunikacji w incydencie
		11.	Analiza urządzeń mobilnych: specyfika pozyskiwania danych, narzędzia, ograniczenia szyfrowania
		12.	Artefakty przeglądarek i poczty elektronicznej: historia, cache, zakładki, nagłówki e-mail
		13.	Rekonstrukcja chronologii zdarzeń: superlinia czasu, korelacja artefaktów z różnych źródeł, raportowanie w informatyce śledczej - struktura raportu technicznego i wykonawczego, standardy, przykłady
		14.	Dochodzenia w środowiskach chmurowych i wirtualnych: specyfika, ograniczenia, dostępne źródła dowodowe
		15.	Zaliczenie wykładu
		Pracownia specjalistyczna
		1.	Akwizycja i weryfikacja obrazu forensycznego dysk: dd, FTK Imager, weryfikacja sum kontrolnych
		2.	Akwizycja i weryfikacja obrazu forensycznego dysk: dd, FTK Imager, weryfikacja sum kontrolnych
		3.	Analiza systemu plików i odtwarzanie usuniętych plików: Autopsy / The Sleuth Kit
		4.	Analiza systemu plików i odtwarzanie usuniętych plików: Autopsy / The Sleuth Kit
		5.	Analiza artefaktów systemu Windows: rejestr, logi zdarzeń, pliki prefetch - praktyczne ćwiczenie na obrazie forensycznym
		6.	Analiza artefaktów systemu Windows: rejestr, logi zdarzeń, pliki prefetch - praktyczne ćwiczenie na obrazie forensycznym
		7.	Analiza zrzutu pamięci operacyjnej: Volatility Framework - identyfikacja procesów, połączeń sieciowych, artefaktów złośliwego oprogramowania
		8.	Analiza zrzutu pamięci operacyjnej: Volatility Framework - identyfikacja procesów, połączeń sieciowych, artefaktów złośliwego oprogramowania
		9.	Rekonstrukcja chronologii zdarzeń na podstawie artefaktów z incydentu: budowa superlinii czasu
		10.	Sporządzenie raportu z dochodzenia cyfrowego: na podstawie przygotowanego scenariusza incydentu
		11.	Sporządzenie raportu z dochodzenia cyfrowego: na podstawie przygotowanego scenariusza incydentu
		12.	Sporządzenie raportu z dochodzenia cyfrowego: na podstawie przygotowanego scenariusza incydentu
		13.	Sporządzenie raportu z dochodzenia cyfrowego: na podstawie przygotowanego scenariusza incydentu
		14.	Sporządzenie raportu z dochodzenia cyfrowego: na podstawie przygotowanego scenariusza incydentu
		15.	Prezentacja wyników raportu, wystawienie ocen
Metody dydaktyczne (realizacja stacjonarna)
		W	wykład informacyjny, wykład problemowy, wykład z prezentacją multimedialną
		Ps	programowanie z użyciem komputera, metoda projektów
Metody dydaktyczne (realizacja zdalna)
		W	wykład informacyjny, wykład problemowy, wykład z prezentacją multimedialną
		-
Forma zaliczenia
		W	zaliczenie pisemne
		Ps	ocena wykonanych zadań na podstawie zaprezentowanych wyników oraz sprawozdań, ocena projektu
Warunki zaliczenia
		W	Uzyskanie min. 30% punktów z każdego efektu uczenia się z zakresu wiedzy, a po spełnieniu tego warunku ostateczna ocena wynika z sumy uzyskanych punktów. Kryteria oceny: [ 0 – 50]% punktów – 2.0 (50 – 60]% punktów – 3.0 (60 – 70]% punktów – 3.5 (70 – 80]% punktów – 4.0 (80 – 90]% punktów – 4.5 (90 – 100]% punktów – 5.0
		Ps	Minimalne wymagania odnośnie efektów uczenia się: E3 - oddanie min. 2 sprawozdań E4 i E5 - ocena raportu z dochodzenia cyfrowego na poziomie min. 50% punktów Kryteria oceny: [ 0 – 50]% punktów – 2.0 (50 – 60)% punktów – 3.0 [60 – 70)% punktów – 3.5 [70 – 80)% punktów – 4.0 [80 – 90)% punktów – 4.5 [90 – 100]% punktów – 5.0
Symbol efektu		Zakładane efekty uczenia się											Odniesienie do efektów uczenia się zdefiniowanych dla kierunku studiów
Symbol efektu		Zakładane efekty uczenia się											Wiedza	Umiejętności	Kompetencje społeczne
	Wiedza: student zna i rozumie
E1		metodyki, procedury i wymagania prawne informatyki śledczej, w tym zasady zachowania integralności materiału dowodowego i łańcucha dowodowego											CYB1_W13 CYB1_W15
E2		typy artefaktów cyfrowych pozostawianych przez aktywność użytkowników i złośliwe oprogramowanie w systemach Windows i Linux, pamięci operacyjnej oraz ruchu sieciowym											CYB1_W07 CYB1_W08
	Umiejętności: student potrafi
E3		pozyskać, zabezpieczyć i przeprowadzić analizę cyfrowego materiału dowodowego z nośników danych i pamięci operacyjnej, z zachowaniem wymagań dotyczących integralności i łańcucha dowodowego												CYB1_U10 CYB1_U19
E4		zrekonstruować chronologię zdarzeń związanych z incydentem bezpieczeństwa na podstawie korelacji artefaktów z różnych źródeł dowodowych oraz sporządzić raport z dochodzenia												CYB1_U10 CYB1_U16
	Kompetencje społeczne: student jest gotów do
E5		zachowania w sposób odpowiedzialny i profesjonalny w prowadzeniu dochodzeń cyfrowych, z poszanowaniem aspektów prawnych, etycznych i prywatności oraz do ponoszenia odpowiedzialności za rzetelność gromadzonego materiału dowodowego													CYB1_K02 H1_K01
Symbol efektu		Sposób weryfikacji efektu uczenia się										Forma zajęć na której zachodzi weryfikacja
E1		zaliczenie pisemne										W
E2		zaliczenie pisemne										W
E3		ocena wykonanych zadań na podstawie zaprezentowanych wyników oraz sprawozdań, ocena projektu										Ps
E4		ocena wykonanych zadań na podstawie zaprezentowanych wyników oraz sprawozdań, ocena projektu										Ps
E5		ocena wykonanych zadań na podstawie zaprezentowanych wyników oraz sprawozdań, ocena projektu										Ps
Literatura podstawowa
		1.	S. V.N Parasram, (Grzegorz Kowalczyk Tł.), Informatyka śledcza i Kali Linux: przeprowadź analizy nośników pamięci, ruchu sieciowego i zawartości RAM-u za pomocą narzędzi systemu Kali Linux 2022.x, Helion 2024
		2.	A. Boniewicz, Analiza śledcza urządzeń mobilnych: teoria i praktyka, Helion, 2022
		3.	M. Roddie, J. Deyalsingh, G.J. Katz, (Radosław Meryk Tł.), Inżynieria detekcji cyberzagrożeń w praktyce: planowanie, tworzenie i walidacja mechanizmów wykrywania zagrożeń, Helion, 2024
		4.	C, Altheide, H. Carvey, Informatyka śledcza: przewodnik po narzędziach open source, Helion, 2014
Literatura uzupełniająca
		1.	R. Boddington, Practical Digital Forensics, Packt Publishing, 2022
		2.	B. Carrier, File System Forensic Analysis, Addison-Wesley Professional, 2005
		3.	M.H. Ligh, The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory, Wiley, 2014
Koordynator przedmiotu:		dr inż. Andrzej Chmielewski											Data:		08/04/2026