无论是提供证据起诉罪犯,阻止攻击者,还是挽救企业,菲尔说,他的DFIR工作对人们生活的影响都让人觉得值得。他通过自己的研究和作为SANS的工作扩展了自己的足迹FOR500:Windows取证分析和FOR528:事件响应者的勒索软件课程讲师。
Phill解释道:“在很多场合,我让人们向我求助,说我分享的东西或我所做的研究帮助他们树立了信念,这真的很值得。”。
Phill的职业生涯始于澳大利亚悉尼州电子证据局(SEEB),通过检查新南威尔士州(NSW)涉及重大犯罪的电子设备提供调查支持。他现在是CyberCX的首席研究员,为SANS的同事Nick Klein工作。
在他的职业生涯中,Phill在地方、州和联邦法院识别、保存、分析和提交了数千台设备上的数字证据,包括计算机、移动设备、GPS设备和CCTV系统。现在,他作为事件响应者和法医分析员,花时间领导团队协助小型、中型和大型组织处理从民事调查和商业电子邮件泄露到勒索软件和国家威胁的所有事务。
Phill还每周写一篇博客,总结行业新闻和更新。他说:“我尽量与推动该行业向前发展的人保持密切联系。”。“我们都可以通过鼓励同行记录他们正在做的研究并分享来帮助社区验证和提高我们的理解,从而变得更好。”
在考虑担任讲师时,Phill选择了SANS,因为他认为它的课程和讲师是最好的。
他解释道:“SANS DFIR课程进行了积极的更新,提供了一种人工第一、工具认知的方法,确保人们不依赖他们的工具的输出,尤其是当他们的工具只能提供到目前为止。”。“SANS课程鼓励学生使用最佳工具完成工作,并在他们无法提供调查所需的所有信息时超越这些工具。”
在他的课堂上,Phill的目标是通过向学生展示结合免费工具、出色的培训、对操作系统/文件系统的扎实理解以及一些勇气可以取得多大的成就,帮助他们在Windows设备上变得高效。
“最终,你要对自己的调查负责,”他指出。“有很多很棒的工具,但它们都有缺点。”
他认为,学生面临的最大挑战就是跟上设备、操作系统和应用程序更新的步伐。他说:“设备和数据源的数量正在增加,能够有效地消除噪音以识别系统上发生了什么是关键。”。
为了跟上创新步伐,Phill鼓励学生不断进行测试、培训、学习和信息共享。在这方面,他可以借鉴个人经验。在前一次警方调查中,Phill发现了一名嫌疑人的信息,显示此人正在犯下调查人员不知道的其他非常严重的罪行。在这种情况下,Phill指出,运气和持久性的结合,在设备之间识别了密码,最终导致了逮捕和成功起诉。
Phill拥有新南威尔士大学商业IT学士学位、南澳大利亚大学计算机取证研究生证书和新南威尔斯大学网络安全(数字取证)硕士学位。
他写了一个名为This Week in 4n6的每周博客,提供了有关DFIR的新闻和更新的摘要,他还制作了一个每月播客,涵盖了一些重要的近期文章。Phill还拥有一个个人研究博客,记录了他对端点、移动、IOT和云证据来源的一些主题的DFIR研究。Phill的工具和研究,包括他的商业电子邮件泄露资源库(Awesome-BEC)可以在他的Github页面上找到。自2017年以来,他每年都被提名为法医学4Cast,并于2019年获得“年度最佳资源”奖。
虽然菲尔的主要兴趣是法医学和家庭,但他也喜欢超级英雄的一切,从漫画到电视和电影,并在健身房和足球场上保持活跃。当他没有读到关于超级英雄的书,也没有在现实生活中成为DFIR超级英雄时,他喜欢与妻子和孩子呆在一起,并不断寻找更多的时间来磨练自己的吉他演奏技能。
资质总结
了解Phill Moore
所获证书
- GIAC认证法医检查员(GCFE)
- IACIS认证法医计算机审查员(CFCE)
- GIAC认证法医分析师(GCFA)
- GIAC战场取证与采办(GBFA)
- 磁铁认证法医检查员(MCFE)
演示文稿
- Enfuse 2018-哦!2018年,你曾在我的见面名单上
- 2018年SANS DFIR峰会——调查Rebel Scum的谷歌主页数据,2018年
菲尔·穆尔的额外贡献:
网络广播
DFIR入门:测试1,2,32021年2月
确保您在DFIR中的未来,2020年4月
www.google.com/search?q=+这+全部+是什么意思?2017年5月日
